IBM WebSphere Application Server 7.0 < Fix Pack 11 多个漏洞
critical Nessus 插件 ID 47112
语言:
简介
远程应用程序服务器受到多种漏洞的影响。描述
远程主机上运行的似乎是 Fix Pack 11 之前的 IBM WebSphere Application Server 7.0。因此,有报告称它受到以下漏洞的影响:- PKIPath 和 PKCS#7 标记的 WS-Security 处理问题可导致安全绕过漏洞。(PK96427)
- 与 Deployment Manager 和 nodeagent 相关的内存不足情况可导致拒绝服务。(PM05663)
- Web 容器未正确处理长文件名,可能造成其响应错误文件,从而导致潜在敏感信息泄露。(PM06111)
- 启用“-trace”选项(又称为调试模式)时存在信息泄露漏洞,这是 WAS 执行打印不明对象的字符串表示形式的调试语句所致。(PM06839)
- Web 容器通过 Transfer-Encoding:
chunked 调用 response.sendRedirect 时发生一个错误,可造成拒绝服务。
(PM08760)
- SIP 日志记录中存在信息泄露漏洞,经过身份验证的本地攻击者可利用此漏洞,获取对敏感信息的访问权限。(PM08892)
- 处理大块 gzip 编码数据时可能发生 NullPointerException。(PM08894)
- 可能存在链接注入漏洞。(PM09250)
- 在通过 SSL 上传超过 2 GB 的数据期间,Web 服务器可能发生故障。(PM10270)
- 启用 -trace 选项时,管理控制台敏感信息可能会在 addNode.log 中显示。(PM10684)
- 管理控制台中存在跨站脚本和 URL 注入漏洞。(PM11778)
解决方案
如果使用 WebSphere Application Server,请应用 Fix Pack 11 (7.0.0.11) 或更高版本。否则,如果使用 Tivoli Directory Server 随附的嵌入式 WebSphere Application Server,请应用最新推荐的 eWAS Fix Pack。
另见
http://www-01.ibm.com/support/docview.wss?uid=swg21404665
http://www-01.ibm.com/support/docview.wss?uid=swg27009778
http://www-01.ibm.com/support/docview.wss?rs=180&uid=swg27014463#70011
插件详情
严重性: Critical
ID: 47112
文件名: websphere_7_0_0_11.nasl
版本: 1.16
类型: remote
系列: Web Servers
发布时间: 2010/6/22
最近更新时间: 2018/8/6
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.3
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
漏洞信息
CPE: cpe:/a:ibm:websphere_application_server
必需的 KB 项: www/WebSphere
易利用性: No known exploits are available
补丁发布日期: 2010/6/18
漏洞发布日期: 2010/4/22
参考资料信息
CVE: CVE-2010-0774, CVE-2010-0775, CVE-2010-0776, CVE-2010-0777, CVE-2010-0778, CVE-2010-0779, CVE-2010-1650, CVE-2010-1651, CVE-2010-2324, CVE-2010-2325, CVE-2010-2326, CVE-2010-2327, CVE-2010-2328
BID: 40277, 40321, 40322, 40325, 40694, 40699, 41081, 41084, 41085, 41091, 41148, 41149