IBM WebSphere Application Server 7.0 < Fix Pack 29 多种漏洞
high Nessus 插件 ID 68982
语言:
简介
远程应用程序服务器可能会受到多种漏洞的影响。描述
远程主机上运行的似乎是 Fix Pack 29 之前的 IBM WebSphere Application Server 7.0 版。因此,它可能会受到以下漏洞的影响:- GSKIT 组件中的 TLS 协议容易受到明文恢复攻击。(CVE-2013-0169、PM85211)
- WS-Security 运行时包含缺陷,特别构建的 SOAP 请求可能触发该缺陷,从而执行任意代码。(CVE-2013-0482、PM76582)
- 存在一个拒绝服务漏洞,由使用 WebSphere Identity Manager (WIM) 时 localOS 注册表上的缓冲区溢出造成。(CVE-2013-0541、PM74909)
- 存在与管理控制台有关的不明跨站脚本漏洞。(CVE-2013-0542、CVE-2013-2967、PM78614、PM81846)
- 存在一个与“本地操作系统注册表”有关的验证缺陷,可能允许远程攻击者绕过安全。(CVE-2013-0543、PM75582)
- 管理控制台中存在一个通过“PARAMETER”参数造成的目录遍历漏洞。
(CVE-2013-0544、PM82468)
- 存在与 OAuth 相关的缺陷,可能允许远程攻击者获取他人的凭据。
(CVE-2013-0597、PM85834、PM87131)
- 存在一个在反序列化期间触发的与 OpenJPA 有关的缺陷,可能允许远程攻击者写入文件系统并可能执行任意代码。(CVE-2013-1768、PM86780、PM86786、PM86788、PM86791)
- 存在一个与管理控制台的错误缓存有关的信息泄露问题。
(CVE-2013-2976、PM79992)
- 存在一个用户提供的输入验证错误,可允许实施跨站请求 (CSRF) 攻击。(CVE-2013-3029、PM88746)
解决方案
如果使用 WebSphere Application Server,请应用 Fix Pack 29 (7.0.0.29) 或更高版本。否则,如果使用 Tivoli Directory Server 随附的嵌入式 WebSphere Application Server,请应用最新推荐的 eWAS 修复程序包。
另见
插件详情
严重性: High
ID: 68982
文件名: websphere_7_0_0_29.nasl
版本: 1.10
类型: remote
系列: Web Servers
发布时间: 2013/7/19
最近更新时间: 2022/12/5
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2013-1768
漏洞信息
CPE: cpe:/a:ibm:websphere_application_server
必需的 KB 项: www/WebSphere
易利用性: No known exploits are available
补丁发布日期: 2013/6/25
漏洞发布日期: 2013/2/4
参考资料信息
CVE: CVE-2013-0169, CVE-2013-0482, CVE-2013-0541, CVE-2013-0542, CVE-2013-0543, CVE-2013-0544, CVE-2013-0597, CVE-2013-1768, CVE-2013-2967, CVE-2013-2976, CVE-2013-3029