Gravité : 2/4

Conséquences : accès/droits utilisateur, accès/droits client,
lecture de données, création/modification de données, déni de
service du service

Provenance : client internet

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Nombre de vulnérabilités dans ce bulletin : 7

Date création : 22/09/2009

PRODUITS CONCERNÉS

– IBM WebSphere Application Server

DESCRIPTION DE LA VULNÉRABILITÉ

Plusieurs vulnérabilités ont été annoncées dans WebSphere
Application Server.

Un attaquant peut provoquer un Cross Site Scripting dans l’aide
d’Eclipse. [grav:2/4 ; BID-36455, CVE-2009-2742, PK78917]

Une vulnérabilité inconnue porte l’identifiant PK88341. [grav:2/4 ;
PK88341]

Une vulnérabilité inconnue porte l’identifiant PK88342. [grav:2/4 ;
PK88342]

Un attaquant peut provoquer une erreur (wsadmin et JAAS-J2C
Authentication Data), puis lire le fichier de log FFDC afin
d’obtenir des informations sensibles. [grav:2/4 ; BID-36458,
CVE-2009-2743, PK86137]

Un attaquant peut employer doGet et doTrace afin de contourner les
restrictions d’accès. [grav:2/4 ; PK83258]

Un attaquant peut mener un déni de service. [grav:2/4 ; BID-36456,
CVE-2009-2744, PK91709]

Une vulnérabilité inconnue porte l’identifiant PK83308. [grav:1/4 ;
BID-36157, CVE-2009-2091, PK83308]

CARACTÉRISTIQUES

Références : BID-36157, BID-36455, BID-36456, BID-36458,
CVE-2009-2091, CVE-2009-2742, CVE-2009-2743, CVE-2009-2744,
PK78917, PK83258, PK83308, PK86137, PK88341, PK88342, PK91709,
swg27007951, VIGILANCE-VUL-9041

http://vigilance.fr/vulnerabilite/WebSphere-AS-6-1-0-multiples-vulnerabilites-9041