– Gravité : 2/4
– Conséquences : accès/droits privilégié, lecture de données,
création/modification de données, déni de service du service
– Provenance : client internet
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Nombre de vulnérabilités dans ce bulletin : 5
– Date création : 08/12/2008

PRODUITS CONCERNÉS

– IBM WebSphere Application Server

DESCRIPTION

Plusieurs vulnérabilités ont été annoncées dans WebSphere
Application Server.

Les données d’une session SSL peuvent aussi circuler en clair.
[grav:2/4 ; CVE-2008-5411, PK74777]
Sous Microsoft Windows, un attaquant peut obtenir des données de
programmes JSP. [grav:2/4 ; CVE-2008-5412, PK75248]
Le code de Perfservlet écrit des informations sensibles dans les
fichiers systemout.log et ffdc (PMI/Performance Tools). [grav:2/4 ;
CVE-2008-5413, PK63886]
Une vulnérabilité inconnue affecte userNameToken. [grav:2/4 ;
CVE-2008-5414]
Certaines dates d’expiration ne sont pas respectées. [grav:1/4 ;
PK66676]

CARACTÉRISTIQUES

– Références : BID-32679, CVE-2008-5411, CVE-2008-5412,
CVE-2008-5413, CVE-2008-5414, PK63886, PK66676, PK74777, PK75248,
VIGILANCE-VUL-8290
– Url : http://vigilance.fr/vulnerabilite/8290