IBM WebSphere Application Server 8.5 < Fix Pack 8.5.5.3 多個弱點

medium Nessus Plugin ID 77438

語系：

概要

遠端應用程式伺服器可能受到多個弱點影響。

說明

遠端主機目前執行的 IBM WebSphere Application Server 8.5 比 Fix Pack 8.5.5.3 版舊。因此受到以下弱點影響：

- 橢圓曲線數位簽章演算法實作中存有一個瑕疵，其可允許惡意處理程序恢復 ECDSA nonce。
(CVE-2014-0076、PI19700)

- 當以未指派的值記錄 cookie 時，在 'mod_log_config' 中存有拒絕服務瑕疵。遠端攻擊者若使用特製的要求，可能導致程式損毀。(CVE-2014-0098、PI13028)

- 具有 Reverse Proxy 元件的 IBM Security Access Manager for Web 內存有拒絕服務瑕疵。
這可能會允許遠端攻擊者使用特製 TLS 流量，使系統上的應用程式沒有反應。(CVE-2014-0963、PI17025)

- 當處理 SOAP 回應時，存有資訊洩漏瑕疵。它可使遠端攻擊者獲得敏感資訊的存取權。
(CVE-2014-0965、PI11434)

- 存在資訊洩漏瑕疵。使用特製 URL 的遠端攻擊者可能取得潛在敏感資訊的存取權。
(CVE-2014-3022、PI09594)

- 虛擬成員管理員 SPI 系統管理工作「addFileRegistryAccount」中存在一個會導致建立不當帳戶的瑕疵。這允許遠端攻擊者繞過安全性檢查。(CVE-2014-3070、PI16765)

- 存在一個不明的資訊洩漏瑕疵。這允許遠端攻擊者取得敏感資訊。(CVE-2014-3083、PI17768)

-「share/classes/sun/security/rsa/RSACore.java」類別存在一個與「RSA 繫結」相關的資訊洩漏瑕疵，此瑕疵是在使用私密金鑰和度量時間差的作業期間所造成。這允許遠端攻擊者取得已用金鑰的相關資訊。(CVE-2014-4244)

-「share/classes/sun/security/util/KeyUtil.java」類別的「validateDHPublicKey」函式中存在一個瑕疵，在驗證 Diffie-Hellman 公開金鑰參數期間，會觸發這個瑕疵。這允許遠端攻擊者復原金鑰。(CVE-2014-4263)

- IPv4 Dispatcher 元件的負載平衡器存在一個瑕疵。這允許使遠端攻擊者造成負載平衡器損毀。(CVE-2014-4764、PI21189)

- 安裝功能時，Liberty 存放庫存在一個瑕疵。這允許經過驗證的遠端攻擊者安裝並執行任意程式碼。
(CVE-2014-4767、PI21284)