IBM WebSphere Application Server adminisztrációs konzol cross-site scripting sérülékenység

CH azonosító

CH-3898

Angol cím

IBM WebSphere Application Server Administration Console Cross-Site Scripting

Felfedezés dátuma

2010.11.04.

Súlyosság

Alacsony

Érintett rendszerek

IBM
WebSphere Application Server

Érintett verziók

IBM WebSphere Application Server 6.1, 7.0

Összefoglaló

Az IBM WebSphere Application Server három olyan sérülékenységét jelentették, melyeket a támadók kihasználhatnak bizonyos biztonsági előírások megkerülésére, cross-site scripting (XSS/CSS) és cross-site request forgery (XSRF/CSRF) támadások indítására.

Leírás

  1. Az adminisztratív konzol részére átadott bizonyos nem részletezett bemenet nincs megfelelően ellenőrizve mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében az érintett oldallal kapcsolatosan.
  2. Az adminisztrációs konzol bemenet ellenőrzési hibáját kihasználva cross-site request forgery (XSRF/CSRF) támadások indíthatók.

    Ezeket a sérülékenységeket a 6.1.0.35 és a 7.0.0.13 előtti verziókban jelentették.

  3. Az adminisztrációs konzol nem helyesen korlátozza a konzol szervletekhez való hozzáférést. Ezt kihasználva direkt kéréseken keresztül megszerezhetők az állapot információk.

    Ezt a sérülékenységet a 6.1.0.35 és a 7.0.0.15 előtti verziókban jelentették.

Megoldás

Alkalmazza az ideiglenes javítócsomagokat vagy frissítsen újabb verzióra, amint elérhetővé válik!

A 6.1 Fix Pack 35 (6.1.0.35) érkezése 2010.12.17-én, a 7.0 Fix Pack 15 (7.0.0.15) érkezése 2011.02.07-én várható.