CH azonosító
CH-3741Angol cím
IBM WebSphere Application Server for z/OS Multiple VulnerabilitiesFelfedezés dátuma
2010.10.08.Súlyosság
KözepesÉrintett rendszerek
IBMWebSphere Application Server
Érintett verziók
IBM WebSphere Application Server 7.0.x
Összefoglaló
Az IBM ismertette az IBM WebSphere Application Server for z/OS sérülékenységeit, amelyek közül az egyik ismeretlen a hatással rendelkezik, míg a többit pedig a támadók kihasználhatják cross-site scripting (XSS/CSS) és cross-site request forgery (XSRF/CSRF) támadások okozására.
Leírás
- A sérülékenységet a Java API XML Web Services (JAX-WS) alkalmazásának egy meghatározatlan hibája okozza, amely a WS-Security házirend segítségével egy Time Stamp (időbélyeg) értéket határoz meg.
- Egyes, meghatározatlan bemeneti adatok nincsenek megfelelően ellenőrizve a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
- Az alkalmazás lehetővé teszi, hogy a felhasználók bizonyos műveleteket hajtsanak végre HTTP kéréseken keresztül, a kérések érvényességének ellenőrzése nélkül. Ez kihasználható bizonyos, részletesen nem meghatározott műveletek végrehajtására, ha az adminisztátori jogokkal bejelentkezett felhasználó ellátogat a rosszindulatú web oldalra.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Unknown (Ismeretlen)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www-01.ibm.com
Gyártói referencia: www-01.ibm.com
Gyártói referencia: www-01.ibm.com
SECUNIA 41722
SECUNIA 41173
CERT-Hungary CH-3566
CVE-2010-3186 - NVD CVE-2010-3186