Érintett rendszerek
IBMWebSphere Application Server
Érintett verziók
IBM WebSphere Application Server 6.0.x
Összefoglaló
Az IBM WebSphere Application Server számos sérülékenységét és egy biztonsági rését jelentették. A sérülékenységeket szolgáltatás megtagadásos támadásokra illetve bizonyos biztonsági korlátozások megkerülésére lehet kihasználni, ezen felül az egyik sérülékenység eddig ismeretlen hatással rendelkezik.
Leírás
Az IBM WebSphere Application Server számos sérülékenységét és egy biztonsági rését jelentették. A sérülékenységeket szolgáltatás megtagadásos támadásokra illetve bizonyos biztonsági korlátozások megkerülésére lehet kihasználni, ezen felül az egyik sérülékenység eddig ismeretlen hatással rendelkezik.
- Az egyik sérülékenység oka egy nem meghatározott hiba, amennyiben a “fileServing” engedélyezve van.
A fentiekhez kapcsolódva:
SA31892 - A HTTP kérések feldolgozásában lévő hibát kihasználva egy különlegesen kialakított kéréssel, mely egy túlságosan hosszú (több mint 256 byte) HTTP “Host” fejlécet tartalmaz, “0C4” rendellenes feladat-befejezés okozható a vezérlőben. A művelet lefagyaszthatja a szervert.
- Az egyik biztonsági rést a web szolgáltatások nem megfelelő CRL (Certificate Ravocation Lists – tanúsítvány visszavonási lista) kezelése okozza. A hiba eredményeként a rendszer nem utasítja el a visszavont X509 tanúsítványokat.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Authentication Issues (Hitelesítés)Input manipulation (Bemenet módosítás)
Unknown (Ismeretlen)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 31892
Gyártói referencia: www-01.ibm.com
SECUNIA 32296