Vigil@nce : WebSphere AS 7.0.0, multiples vulnérabilités
août 2009 par Vigil@nce
Plusieurs vulnérabilités de WebSphere AS peuvent être employées
pour attaquer le service.
Gravité : 2/4
Conséquences : accès/droits utilisateur, lecture de données,
création/modification de données, déni de service du service
Provenance : client internet
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Nombre de vulnérabilités dans ce bulletin : 13
Date création : 27/07/2009
PRODUITS CONCERNÉS
– IBM WebSphere Application Server
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans WebSphere
Application Server.
Des méthodes HTTP non standard sont autorisées. [grav:1/4 ;
CVE-2009-1901, PK73246]
Lorsque l’utilisateur s’authentifie, une session non chiffrée peut
être utilisée (http au lieu de https). [grav:2/4 ; CVE-2009-1898,
PK77010]
Une vulnérabilité inconnue a été annoncée. [grav:1/4 ; PK77465]
Une vulnérabilité affecte wsadmin. [grav:2/4 ; CVE-2009-1899,
PK77495]
Le drapeau sécurité de Federated Repositories est incorrect après
une migration vers VMM (WebSphere Member Manager). [grav:2/4 ;
BID-35406, CVE-2009-0899, PK78134]
Les mots de passe des modules WebServices sont incorrectement
gérés. [grav:2/4 ; PK79275]
Des informations sensibles peuvent apparaître dans les journaux de
migration. [grav:1/4 ; PK80337]
La validation de l’identité du serveur est incorrecte. [grav:2/4 ;
PK83097]
Une vulnérabilité inconnue a été annoncée. [grav:1/4 ; PK83308]
Les API Configservice affichent des informations sensibles.
[grav:2/4 ; CVE-2009-1900, PK84999]
Une vulnérabilité inconnue a été annoncée. [grav:1/4 ; PK86232]
Une vulnérabilité inconnue a été annoncée. [grav:1/4 ; PK86328]
Une vulnérabilité inconnue a été annoncée. [grav:1/4 ; PK89385]
CARACTÉRISTIQUES
Références : BID-35406, CVE-2009-0899, CVE-2009-1898,
CVE-2009-1899, CVE-2009-1900, CVE-2009-1901, PK73246, PK77010,
PK77465, PK77495, PK78134, PK79275, PK80337, PK83097, PK83308,
PK84999, PK86232, PK86328, PK89385, swg27014463, VIGILANCE-VUL-8889
http://vigilance.fr/vulnerabilite/WebSphere-AS-7-0-0-multiples-vulnerabilites-8889