IBM WebSphere Application Server for z/OS sérülékenységei

CH azonosító

CH-3741

Angol cím

IBM WebSphere Application Server for z/OS Multiple Vulnerabilities

Felfedezés dátuma

2010.10.08.

Súlyosság

Közepes

Érintett rendszerek

IBM
WebSphere Application Server

Érintett verziók

IBM WebSphere Application Server 7.0.x

Összefoglaló

Az IBM ismertette az IBM WebSphere Application Server for z/OS sérülékenységeit, amelyek közül az egyik ismeretlen a hatással rendelkezik, míg a többit pedig a támadók kihasználhatják cross-site scripting (XSS/CSS) és cross-site request forgery (XSRF/CSRF) támadások okozására.

Leírás

  1. A sérülékenységet a Java API XML Web Services (JAX-WS) alkalmazásának egy meghatározatlan hibája okozza, amely a WS-Security házirend segítségével egy Time Stamp (időbélyeg) értéket határoz meg. 
  2. Egyes, meghatározatlan bemeneti adatok nincsenek megfelelően ellenőrizve a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
  3. Az alkalmazás lehetővé teszi, hogy a felhasználók bizonyos műveleteket hajtsanak végre HTTP kéréseken keresztül, a kérések érvényességének ellenőrzése nélkül. Ez kihasználható bizonyos, részletesen nem meghatározott műveletek végrehajtására, ha az adminisztátori jogokkal bejelentkezett felhasználó ellátogat a rosszindulatú web oldalra.

Megoldás

Telepítse a javítócsomagokat