Множественные уязвимости в IBM WebSphere Application Server

Дата публикации:
23.05.2013
Дата изменения:
23.05.2013
Всего просмотров:
6927
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
3
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:6.8/Temporal:5
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:9.3/Temporal:6.9
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Раскрытие важных данных
Обход ограничений безопасности
Спуфинг атака
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
IBM WebSphere Application Server 8.0.x
IBM WebSphere Application Server 8.5.x
Уязвимые версии:
IBM WebSphere Application Server 8.0.0.5, возможно другие версии
IBM WebSphere Application Server 8.5.0.1, возможно другие версии

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Для более подробной информации просмотрите уязвимости с #1-#4 и #6-#8:
http://www.securitylab.ru/vulnerability/440530.php

1. Уязвимость существует из-за ошибки при проверке авторизационных куки-файлов. Удаленный пользователь может обойти ограничения безопасности.

Примечание: Уязвимость не может быть проэксплуатирована при использовании SSL.

2. Уязвимость существует из-за неизвестной ошибки, связанной с RPCAdapter для Web2.0 и Mobile toolkit. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Примечание: Уязвимость обнаружена в версиях с 8.5 по 8.5.1.

3. Уязвимость существует из-за неизвестной ошибки, связанной с WS-Security. Удаленный пользователь может перехватить сигнатуры сообщений.

Примечание: Уязвимость позволяет удаленное выполнение произвольного кода с помощью специально сформированного SOAP-сообщения.

Примечание: Уязвимости #1 и #3 обнаружены в версиях с 8.0 по 8.0.0.5, а также с 8.5 по 8.5.0.1.

URL производителя: http://www-03.ibm.com/software/products/us/en/appserv-was#

Решение: Установите обновление с сайта производителя.

Ссылки: http://www.ibm.com/support/docview.wss?uid=swg21632423
http://www.ibm.com/support/docview.wss?uid=swg21634646

или введите имя

CAPTCHA