Vigil@nce : WebSphere AS 7.0.0, multiples vulnérabilités
décembre 2009 par Vigil@nce
Plusieurs vulnérabilités de WebSphere AS peuvent être employées
pour attaquer le service.
– Gravité : 2/4
– Conséquences : accès/droits privilégié, accès/droits utilisateur,
accès/droits client, déni de service du service
– Provenance : client internet
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Nombre de vulnérabilités dans ce bulletin : 9
– Date création : 14/12/2009
PRODUITS CONCERNÉS
– IBM WebSphere Application Server
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans WebSphere
Application Server.
Un attaquant peut employer la console d’administration pour
provoquer un Cross Site Scripting afin de faire exécuter du code
JavaScript sur la machine de l’administrateur (VIGILANCE-VUL-9201
(https://vigilance.fr/arbre/1/9201)). [grav:2/4 ; BID-37015,
BID-37355, CVE-2009-2747, PK92057]
Un attaquant peut provoquer un Cross Site Scripting dans l’aide
d’Eclipse. [grav:2/4 ; BID-36455, CVE-2009-2742, PK78917]
Une vulnérabilité inconnue porte l’identifiant PK88342. [grav:2/4 ;
PK88342]
Une vulnérabilité inconnue porte l’identifiant PK88341. [grav:2/4 ;
PK88341]
Un attaquant peut provoquer une erreur (wsadmin et JAAS-J2C
Authentication Data), puis lire le fichier de log FFDC afin
d’obtenir des informations sensibles. [grav:2/4 ; BID-36458,
CVE-2009-2743, PK86137]
Un attaquant peut provoquer un Cross Site Request Forgery dans la
console web d’administration. [grav:2/4 ; PK87176]
Une vulnérabilité inconnue affecte la sécurité. [grav:2/4 ; PK91414]
Un attaquant peut employer doGet et doTrace afin de contourner les
restrictions d’accès. [grav:2/4 ; PK83258]
Un attaquant peut mener un déni de service. [grav:2/4 ; BID-36456,
CVE-2009-2744, PK91709]
CARACTÉRISTIQUES
– Références : BID-36455, BID-36456, BID-36458, BID-37015,
BID-37355, CVE-2009-2742, CVE-2009-2743, CVE-2009-2744,
CVE-2009-2747, PK78917, PK83258, PK86137, PK87176, PK88341,
PK88342, PK91414, PK91709, PK92057, VIGILANCE-VUL-9280
– Url : http://vigilance.fr/vulnerabilite/WebSphere-AS-7-0-0-multiples-vulnerabilites-9280