Vigil@nce : WebSphere AS 6.0.2, multiples vulnérabilités
juin 2009 par Vigil@nce
Plusieurs vulnérabilités de WebSphere AS peuvent être employées
pour attaquer le service.
Gravité : 2/4
Conséquences : accès/droits utilisateur, lecture de données
Provenance : client internet
Moyen d’attaque : 1 attaque
Compétence de l’attaquant : technicien (2/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Nombre de vulnérabilités dans ce bulletin : 6
Date création : 01/06/2009
PRODUITS CONCERNÉS
– IBM WebSphere Application Server
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans WebSphere
Application Server.
Lorsque l’utilisateur s’authentifie, une session non chiffrée peut
être utilisée (http au lieu de https). [grav:2/4 ; CVE-2009-1898,
PK77010]
Les API Configservice affichent des informations sensibles.
[grav:2/4 ; CVE-2009-1900, PK84999]
Un attaquant peut provoquer un Cross Site Scripting dans les
exemples d’applications fournis avec WebSphere (PlantsByWebSphere,
JAX-WS Web Services MTOM, JAX-WS Web Services Ping and Echo,
Dynamic Query - Employee Finder, Dynamic Query - EJB Data Mediator
Service, Application Profile - Account Management, Scheduler
Account Report). [grav:1/4 ; DEFECT 566807, DSECRG-09-013, PK76720]
Des méthodes HTTP non standard sont autorisées. [grav:1/4 ;
CVE-2009-1901, PK73246]
Une vulnérabilité affecte wsadmin. [grav:2/4 ; CVE-2009-1899,
PK77495]
Une vulnérabilité affecte la signature XML. [grav:2/4 ; BID-34506,
CVE-2009-1174, PK80596]
CARACTÉRISTIQUES
Références : BID-34506, CVE-2009-1174, CVE-2009-1898,
CVE-2009-1899, CVE-2009-1900, CVE-2009-1901, DEFECT 566807, DSECRG-09-013, PK73246, PK76720, PK77010, PK77495, PK80596, PK84999, VIGILANCE-VUL-8747
http://vigilance.fr/vulnerabilite/WebSphere-AS-6-0-2-multiples-vulnerabilites-8747