IBM WebSphere Application Server 7.0 < Fix Pack 15 多種弱點

high Nessus Plugin ID 52615

語系：

概要

遠端應用程式伺服器受到多個弱點影響。

說明

遠端主機上執行的似乎是 Fix Pack 15 之前的 IBM WebSphere Application Server 7.0。因此，據報會受到以下弱點影響：

- BBOOORBR 控制區塊的重複釋放錯誤導致觸發拒絕服務。(PM17170)

- web 容器存在跨網站指令碼弱點。(PM18512)

- 經過驗證的使用者可以使用輕量型第三方驗證 (LTPA) token 進行驗證，從而觸發 DoS 狀況。
(PM18644)

- 追蹤檔包含敏感的 wsadmin 命令參數，這可導致資訊洩漏弱點。(PM18736)

-「com.ibm.ws.jsp.runtime.WASJSPStrBufferImpl」的記憶體洩漏觸發 DoS 狀況。(PM19500)

- 可以透過 WebSphere Web 服務執行階段提供的 SAAJ API 觸發 DoS 狀況。
(PM19534)

- Service Integration Bus (SIB) 訊息引擎受到 DoS 問題的影響。(PM19834)

- 安裝程式將使用開放的「777」權限建立暫時記錄檔目錄。(PM20021)

- IVT 應用程式存在跨網站指令碼弱點。(PM20393)

- 即使使用者已登出，仍未清除快取中的認證。(PM21536)

- 未正確處理 Trace 要求，導致不明問題。(PM22860)

-「org.apache.jasper.runtime.JspWriterImpl.response」的記憶體洩漏，觸發拒絕服務狀況。(PM23029)

- 在某些情況下，SIP Proxy 可能會停止處理 UDP 訊息，進而導致 DoS 狀況。(PM23115)

- 訊息引擎的記憶體洩漏，觸發拒絕服務狀況。(PM23626)

- 允許對某些控制 Servlet 進行不當的存取。
(PM24372)

- AuthCache 清除實作無法清除 AuthCache 中的使用者。(PM24668)

- 使用 J2EE 1.4 應用程式時，會發生不正確的安全性角色對應。(PM25455)

- 管理員角色成員可以透過管理主控台修改主要管理 ID。(PK88606)

解決方案

若使用的是 WebSphere Application Server，請套用 Fix Pack 15 (7.0.0.15) 或更新版本。

如果使用的是 Tivoli Directory Server 封裝的內嵌 WebSphere Application Server，請套用建議的最新版 eWAS Fix Pack。