Vigil@nce : WebSphere AS 6.1.0, multiples vulnérabilités
septembre 2009 par Vigil@nce
Plusieurs vulnérabilités de WebSphere AS peuvent être employées
pour attaquer le service.
Gravité : 2/4
Conséquences : accès/droits utilisateur, accès/droits client,
lecture de données, création/modification de données, déni de
service du service
Provenance : client internet
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Nombre de vulnérabilités dans ce bulletin : 7
Date création : 22/09/2009
PRODUITS CONCERNÉS
– IBM WebSphere Application Server
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans WebSphere
Application Server.
Un attaquant peut provoquer un Cross Site Scripting dans l’aide
d’Eclipse. [grav:2/4 ; BID-36455, CVE-2009-2742, PK78917]
Une vulnérabilité inconnue porte l’identifiant PK88341. [grav:2/4 ;
PK88341]
Une vulnérabilité inconnue porte l’identifiant PK88342. [grav:2/4 ;
PK88342]
Un attaquant peut provoquer une erreur (wsadmin et JAAS-J2C
Authentication Data), puis lire le fichier de log FFDC afin
d’obtenir des informations sensibles. [grav:2/4 ; BID-36458,
CVE-2009-2743, PK86137]
Un attaquant peut employer doGet et doTrace afin de contourner les
restrictions d’accès. [grav:2/4 ; PK83258]
Un attaquant peut mener un déni de service. [grav:2/4 ; BID-36456,
CVE-2009-2744, PK91709]
Une vulnérabilité inconnue porte l’identifiant PK83308. [grav:1/4 ;
BID-36157, CVE-2009-2091, PK83308]
CARACTÉRISTIQUES
Références : BID-36157, BID-36455, BID-36456, BID-36458,
CVE-2009-2091, CVE-2009-2742, CVE-2009-2743, CVE-2009-2744,
PK78917, PK83258, PK83308, PK86137, PK88341, PK88342, PK91709,
swg27007951, VIGILANCE-VUL-9041
http://vigilance.fr/vulnerabilite/WebSphere-AS-6-1-0-multiples-vulnerabilites-9041