CH azonosító
CH-4204Angol cím
IBM WebSphere Application Server Multiple VulnerabilitiesFelfedezés dátuma
2011.01.17.Súlyosság
KözepesÉrintett rendszerek
IBMWebSphere Application Server
Érintett verziók
IBM WebSphere Application Server 7.0.x
Összefoglaló
Az IBM WebSphere Application Server több sérülékenységét jelentették, amelyeket a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadásokra és egyes biztonsági szabályok megkerülésére.
Leírás
- A web tárolónak átadott, részletesen nem ismertetett bementi adat nincs megfelelően ellenőrizve, mielőtt a felhasználónak visszaadnák azt. Ez kihasználható cross-site scripting (XSS/CSS) támadásokra.
- Az adminisztrátori konzolnak átadott, egyes nem részletezett bemeneti adatok nincsenek megfelelően ellenőrizve, mielőtt visszaadnák azokat a felhasználóknak. Ez kihasználható tetszőleges HTML és script kód lefuttatására mialatt a felhasználó az érintett oldalon böngészik.
- – Az adminisztrátori konzol egyéb bemeneti adat érvényesítési hibája kihasználható cross-site request forgery (XSRF/CSRF) támadásokra, ha az adminisztrátori jogosultsággal bejelentkezett felhasználó ellátogat a káros web oldalra.
– Az alkalmazás lehetővé teszi, hogy a felhasználók HTTP kéréseken keresztül bizonyos tevékenységeket folytassanak le, a kérések érvényességének vizsgálata nélkül. - Az adminisztrátori konzol nem megfelőlően korlátozza a konzol szervletekhez való hozzáférést, ami kihasználható a direkt kéréseken keresztül az állapot információk megszerzésére.
A sérülékenységet a 7.0 Fix Pack 15 (7.0.0.15) verziónál korábbiakban jelentették.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Other (Egyéb)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www-01.ibm.com
Egyéb referencia: xforce.iss.net
Egyéb referencia: xforce.iss.net
SECUNIA 42938
SECUNIA 42190
SECUNIA 42136
CVE-2011-0315 - NVD CVE-2011-0315
CVE-2011-0316 - NVD CVE-2011-0316