IBM WebSphere Application Server < 6.0.2.35 多种漏洞

medium Nessus 插件 ID 38978

简介

远程应用程序服务器受到多种漏洞的影响。

描述

远程主机上运行的似乎是 Fix Pack 35 之前的 IBM WebSphere Application Server 6.0.2。因此,有报告称它受到多种漏洞的影响:

- 允许非标准 HTTP 方法。(PK73246)

- 使用 LPTAToken cookie 进行的登录可能导致延长 LTPAToken 过期时间,使其超过 LTPAToken 超时值。(PK75919)

- 样本应用程序存在跨站脚本漏洞。(PK76720)

- 如果直接通过 http 访问管理控制台,则控制台无法将连接重定向到安全登陆页面。(PK77010)

- “wsadmin”受到一个安全泄露漏洞的影响。(PK77495)

- XML 数字签名受到一个安全问题的影响。
(PK80596)

- 在某些情况下,会暴露应用程序源文件。(PK81387)

- Configservice API 可显示敏感信息。(PK84999)

解决方案

请安装 Fix Pack 35 (6.0.2.35) 或更高版本。

另见

http://www-01.ibm.com/support/docview.wss?rs=180&uid=swg27006876#60235

插件详情

严重性: Medium

ID: 38978

文件名: websphere_6_0_2_35.nasl

版本: 1.17

类型: remote

系列: Web Servers

发布时间: 2009/6/2

最近更新时间: 2018/8/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

漏洞信息

CPE: cpe:/a:ibm:websphere_application_server

必需的 KB 项: www/WebSphere

易利用性: No known exploits are available

补丁发布日期: 2009/6/1

参考资料信息

CVE: CVE-2009-1898, CVE-2009-1899, CVE-2009-1900, CVE-2009-1901

BID: 35405

CWE: 200

Secunia: 35301