IBM WebSphere Application Server JAX-WS webszolgáltatások sérülékenysége

CH azonosító

CH-3239

Angol cím

IBM WebSphere Application Server Web Services Vulnerability

Felfedezés dátuma

2010.06.21.

Súlyosság

Közepes

Érintett rendszerek

IBM
Lotus Web Content Management
WebSphere Application Server
WebSphere Application Server Feature Pack for Web 2.0
WebSphere Application Server Feature Pack for Web Services
WebSphere Portal

Érintett verziók

IBM Lotus Web Content Management 6.x
IBM WebSphere Application Server Feature Pack for Web Services 6.1.0.9 - 6.1.0.32
IBM WebSphere Application Server 7.0 - 7.0.0.12
IBM WebSphere Application Server Feature Pack for Web 2.0 1.0.1.0
IBM WebSphere Portal 6.x

Összefoglaló

Az IBM WebSphere Application Server olyan sérülékenységét jelentették, amelyet a támadók kihasználva bizalmas rendszeradatokhoz vagy adatokhoz juthatnak és szolgáltatásmegtagadást (DoS) idézhetnek elő.

Leírás

A sérülékenységet az okozza, hogy az Apache Axis2 nem megfelelően korlátozza az XML Document Type Declarations (DTD) feldolgozását. Ezt kihasználva DTD hivatkozással meg lehet állapítani egy helyi vagy távoli fájl létezését és be lehet olvasni a tartalmát, valamint pl. egy többszörösen beágyazott DTD segítségével szolgáltatás megtagadás okozható.

Megoldás

Telepítse a javítócsomagokat