IBM WebSphere Application Server 7.0 < Fix Pack 31 多种漏洞

medium Nessus 插件 ID 72061

语言：

简介

远程应用程序服务器可能会受到多种漏洞的影响。

描述

远程主机上运行的似乎是 Fix Pack 31 之前的 IBM WebSphere Application Server 7.0 版。因此，它可能会受到以下漏洞的影响：

- Apache HTTP Server 的 mod_rewrite 模块中存在缺陷，可能允许远程攻击者通过 HTTP 执行任意代码。（CVE-2013-1862、PM87808）

- 由于未能审查管理控制台中用户提供的输入，IBM WebSphere Application Server 中存在 XSS 漏洞。（CVE-2013-4005、PM88208）

- 在使用可选的 mod_dav 模块时存在拒绝服务漏洞。（CVE-2013-1896、PM89996）

- 由于使用 Apache Ant 来压缩文件而存在拒绝服务漏洞。（CVE-2012-2098、PM90088）

- 使用 WS-Security 的 IBM WebSphere Application Server（使用信任存储针对 XML 数字签名进行配置）中存在权限升级漏洞。
（CVE-2013-4053、PM90949、PM91521）

- 由于未能审查 UDDI 管理控制台中用户提供的输入，IBM WebSphere Application Server 中存在 XSS 漏洞。
（CVE-2013-4052、PM91892）

- IBM WebSphere Application Server（已从版本 6.1 或更高版本迁移）中存在权限升级漏洞。（CVE-2013-5414、PM92313）

- 由于未能审查应用程序 HTTP 响应数据，IBM WebSphere Application Server 中存在 XSS 漏洞。（CVE-2013-5417、PM93323、PM93944）

- 由于未能审查管理控制台中用户提供的输入，IBM WebSphere Application Server 中存在 XSS 漏洞。（CVE-2013-5418、PM96477）

- 由于未能审查管理控制台中用户提供的输入，IBM WebSphere Application Server 中存在 XSS 漏洞。（CVE-2013-6725、PM98132）

- 配置为通过 simpleFileServlet 使用静态文件缓存的 IBM WebSphere Application Server 中存在信息泄露漏洞。
（CVE-2013-6330、PM98624）

- 由于 Web 服务端点未能正确处理请求，IBM WebSphere Application Server 中存在拒绝服务漏洞。
（CVE-2013-6325、PM99450）

- 与 JSSE 相关的 IBM WebSphere Application Server 随附的用于 Java 的 IBM SDK 中存在信息泄露漏洞。(CVE-2013-5780)

- 与 XML 相关的 IBM WebSphere Application Server 随附的用于 Java 的 IBM SDK 中存在拒绝服务漏洞。(CVE-2013-5372)

- 与 JSSE 相关的 IBM WebSphere Application Server 随附的用于 Java 的 IBM SDK 中存在拒绝服务漏洞。(CVE-2013-5803)

解决方案

如果使用 WebSphere Application Server，请应用 Fix Pack 31 (7.0.0.31) 或更高版本。

否则，如果使用 Tivoli Directory Server 随附的嵌入式 WebSphere Application Server，请应用最新推荐的 eWAS 修复程序包。