Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : WebSphere AS 7.0.0, multiples vulnérabilités

avril 2009 par Vigil@nce

SYNTHÈSE DE LA VULNÉRABILITÉ

Plusieurs vulnérabilités de WebSphere AS peuvent être employées
pour attaquer le service.

Gravité : 2/4

Conséquences : accès/droits client, création/modification de
données

Provenance : client internet

Moyen d’attaque : 2 attaques

Compétence de l’attaquant : débutant (1/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Nombre de vulnérabilités dans ce bulletin : 7

Date création : 26/03/2009

Date révision : 27/03/2009

PRODUITS CONCERNÉS

 IBM WebSphere Application Server

DESCRIPTION DE LA VULNÉRABILITÉ

Plusieurs vulnérabilités ont été annoncées dans WebSphere
Application Server.

Une vulnérabilité affecte SOAPAction. [grav:2/4 ; PK72138]

Un attaquant peut accéder aux sessions de la console
d’administration. [grav:2/4 ; CVE-2009-0892, PK74966]

Le runtime AX-RPC WS-Sexcurity ne valide pas correctement un
"usernametoken". [grav:2/4 ; CVE-2009-1172, PK75992]

Un attaquant peut provoquer un Cross Site Scripting dans les
exemples d’applications fournis avec WebSphere (PlantsByWebSphere,
JAX-WS Web Services MTOM, JAX-WS Web Services Ping and Echo,
Dynamic Query - Employee Finder, Dynamic Query - EJB Data Mediator
Service, Application Profile - Account Management, Scheduler
Account Report). [grav:1/4 ; DEFECT 566807, DSECRG-09-013, PK76720]

Un attaquant peut provoquer un Cross Site Scripting dans la
console d’administration "Integrated Solutions Console".
[grav:2/4 ; BID-34259, DEFECT 566807, DSECRG-09-013, PK77505]

Certains fichiers sont créés avec les permissions 777 (modifiables
par tout le monde) au lieu de 755. [grav:2/4 ; BID-34259,
CVE-2009-1173, PK77590]

Une vulnérabilité affecte la signature XML. [grav:2/4 ;
CVE-2009-1174, PK80596]

CARACTÉRISTIQUES

Références : BID-34259, CVE-2009-0892, CVE-2009-1172,
CVE-2009-1173, CVE-2009-1174, DEFECT 566807, DSECRG-09-013,
PK72138, PK74966, PK75992, PK76720, PK77505, PK77590, PK80596,
swg27014463, VIGILANCE-VUL-8567

http://vigilance.fr/vulnerabilite/WebSphere-AS-7-0-0-multiples-vulnerabilites-8567


Voir les articles précédents

    

Voir les articles suivants