IBM WebSphere Application Server 7.0 < Fix Pack 15 多种漏洞

high Nessus 插件 ID 52615

语言：

简介

远程应用程序服务器受到多种漏洞的影响。

描述

远程主机上运行的似乎是 Fix Pack 15 之前的 IBM WebSphere Application Server 7.0 版。因此，有报告称它受到以下漏洞的影响：

- BBOOORBR 控制块中的双重释放错误可触发拒绝服务攻击。(PM17170)

- web 容器中存在跨站脚本漏洞。(PM18512)

- 通过认证的用户可能会使用针对认证的轻量级第三方认证 (LTPA) 令牌触发拒绝服务攻击。
(PM18644)

- 跟踪文件中包含敏感的 wsadmin 命令参数，可导致信息泄露漏洞。(PM18736)

- “com.ibm.ws.jsp.runtime.WASJSPStrBufferImpl”中的内存泄漏可触发 DoS 情况。(PM19500)

- 由 WebSphere Web 服务运行时提供的 SAAJ API 可触发 DoS 情况。
(PM19534)

- 服务集成总线 (SIB) 消息引擎受到拒绝服务问题的影响。(PM19834)

- 安装程序将使用开放的“777”权限创建临时日志文件目录。(PM20021)

- IVT 应用程序存在一个跨站脚本漏洞。(PM20393)

- 没有从缓存清除用户凭据，甚至在用户注销之后也没有清除。(PM21536)

- 没有正确处理跟踪请求，这可导致不明的问题。(PM22860)

-“org.apache.jasper.runtime.JspWriterImpl.response”的内存泄漏可触发拒绝服务情况。(PM23029)

- 在特定情况下，SIP 代理可能停止处理 UDP 消息，从而导致 DoS 情况。(PM23115)

- 消息引擎中的内存泄漏可触发拒绝服务攻击。(PM23626)

- 允许对某些控制 servlet 进行不当访问。
(PM24372)

- AuthCache 清除实现不能清除 AuthCache 中的用户。(PM24668)

- 使用 J2EE 1.4 应用程序时，可能会发生不正确的安全角色映射。(PM25455)

- 管理员角色成员可通过管理控制台修改主管理 id。(PK88606)

解决方案

如果使用 WebSphere Application Server，请应用 Fix Pack 15 (7.0.0.15) 或更高版本。

否则，如果使用 Tivoli Directory Server 随附的嵌入式 WebSphere Application Server，请应用最新推荐的 eWAS 修复程序包。