IBM WebSphere Application Server sérülékenységek

CH azonosító

CH-4204

Angol cím

IBM WebSphere Application Server Multiple Vulnerabilities

Felfedezés dátuma

2011.01.17.

Súlyosság

Közepes

Érintett rendszerek

IBM
WebSphere Application Server

Érintett verziók

IBM WebSphere Application Server 7.0.x

Összefoglaló

Az IBM WebSphere Application Server több sérülékenységét jelentették, amelyeket  a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadásokra és egyes biztonsági szabályok megkerülésére.

Leírás

  1. A web tárolónak átadott, részletesen nem ismertetett bementi adat nincs megfelelően ellenőrizve, mielőtt a felhasználónak visszaadnák azt. Ez kihasználható cross-site scripting (XSS/CSS) támadásokra.
  2. Az adminisztrátori konzolnak átadott, egyes nem részletezett bemeneti adatok nincsenek megfelelően ellenőrizve, mielőtt visszaadnák azokat a felhasználóknak. Ez kihasználható tetszőleges HTML és script kód lefuttatására mialatt a felhasználó az érintett oldalon böngészik.
  3. – Az adminisztrátori konzol egyéb bemeneti adat érvényesítési hibája kihasználható cross-site request forgery (XSRF/CSRF) támadásokra, ha az adminisztrátori jogosultsággal bejelentkezett felhasználó ellátogat a káros web oldalra.
    – Az alkalmazás lehetővé teszi, hogy a felhasználók HTTP kéréseken keresztül bizonyos tevékenységeket folytassanak le, a kérések érvényességének vizsgálata nélkül.
  4. Az adminisztrátori konzol nem megfelőlően korlátozza a konzol szervletekhez való hozzáférést, ami kihasználható a direkt kéréseken keresztül az állapot információk megszerzésére.

A sérülékenységet a 7.0 Fix Pack 15 (7.0.0.15) verziónál korábbiakban jelentették.

Megoldás

Telepítse a javítócsomagokat