IBM WebSphere Application Server 7.0 < Fix Pack 31 多種弱點

medium Nessus Plugin ID 72061

語系：

概要

遠端應用程式伺服器可能受到多個弱點的影響。

說明

遠端主機上執行的似乎是 Fix Pack 31 之前的 IBM WebSphere Application Server 7.0。因此可能受到以下弱點影響：

- Apache HTTP Server 的 mod_rewrite 模組中有一個瑕疵，可能允許遠端攻擊者透過 HTTP 執行任意程式碼。(CVE-2013-1862、PM87808)

- 在 IBM WebSphere Application Server 中存在一個 XSS 弱點，原因是無法清理使用者在管理主控台中提供的輸入。(CVE-2013-4005、PM88208)

- 使用選用的 mod_dav 模組時存在一個拒絕服務弱點。(CVE-2013-1896、PM89996)

- 存在一個因使用 Apache Ant 來壓縮檔案而導致的拒絕服務弱點。(CVE-2012-2098、PM90088)

- 在使用 WS-Security (已針對使用信任存放區的 XML 數位簽章加以設定) 的 IBM WebSphere Application Server 中存在一個權限提升弱點。
(CVE-2013-4053、PM90949、PM91521)

- 在 IBM WebSphere Application Server 中存在一個 XSS 弱點，原因是無法清理使用者在 UDDI 管理主控台中提供的輸入。
(CVE-2013-4052、PM91892)

- 在從 6.1 或更新版本移轉的 IBM WebSphere Application Server 中存在一個權限提升弱點。(CVE-2013-5414、PM92313)

- 在 IBM WebSphere Application Server 中存在一個 XSS 弱點，原因是無法清理應用程式 HTTP 回應資料。(CVE-2013-5417、PM93323、PM93944)

- 在 IBM WebSphere Application Server 中存在一個 XSS 弱點，原因是無法清理使用者在管理主控台中提供的輸入。(CVE-2013-5418、PM96477)

- 在 IBM WebSphere Application Server 中存在一個 XSS 弱點，原因是無法清理使用者在管理主控台中提供的輸入。(CVE-2013-6725、PM98132)

- 設定為使用藉由 simpleFileServlet 快取的靜態檔案之 IBM WebSphere Application Servers 中，存在一個資訊洩漏弱點。
(CVE-2013-6330、PM98624)

- 在 IBM WebSphere Application Server 中存在一個拒絕服務弱點，原因是無法正確處理 web 服務端點的要求。
(CVE-2013-6325、PM99450)

- 在 IBM WebSphere Application Server 隨附的 IBM SDK for Java 中存在一個與 JSSE 相關的資訊洩漏弱點。(CVE-2013-5780)

- IBM WebSphere Application Server 隨附的 IBM SDK for Java 中存在一個與 XML 相關的拒絕服務弱點。(CVE-2013-5372)

- IBM WebSphere Application Server 隨附的 IBM SDK for Java 中存在一個與 JSSE 相關的拒絕服務弱點。(CVE-2013-5803)

解決方案

若使用的是 WebSphere Application Server，請套用 Fix Pack 31 (7.0.0.31) 或更新版本。

如果使用的是 Tivoli Directory Server 封裝的內嵌 WebSphere Application Server，請套用建議的最新版 eWAS Fix Pack。