Vigil@nce - WebSphere AS 8.0 : six vulnérabilités
novembre 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités de WebSphere
Application Server.
Produits concernés : WebSphere AS
Gravité : 2/4
Date création : 13/11/2012
DESCRIPTION DE LA VULNÉRABILITÉ
Six vulnérabilités ont été annoncées dans WebSphere Application
Server.
L’identifiant de session n’est pas correctement mis à jour, ce qui
permet à un attaquant d’usurper les privilèges de la victime.
[grav:2/4 ; BID-55678, CVE-2012-3304, PM54356]
Lors de l’utilisation d’un Federated Repository, les connexions
WOLA (Optimized Local Adapters) sont autorisées vers les
applications EJB. [grav:2/4 ; BID-55671, CVE-2012-3311, PM61388]
Lors du déploiement d’une application illicite, des fichiers
script/exécutables situés hors du répertoire sont écrasés.
[grav:2/4 ; BID-55678, CVE-2012-3305, PM62467]
Lorsqu’il y a plusieurs domaines de sécurité, le cache
d’authentification n’est pas correctement purgé. [grav:2/4 ;
BID-55678, CVE-2012-3306, PM66514]
Lorsque PM44303 est installé sur IBM WebSphere Application Server,
un attaquant local peut accéder aux fonctionnalités
d’administration (VIGILANCE-VUL-11907 (https://vigilance.fr/arbre/1/11907)).
[grav:2/4 ; BID-55309, CERTA-2012-AVI-475, CVE-2012-3325, PM71296]
Un attaquant peut stopper le proxy. [grav:2/4 ; BID-56459,
CVE-2012-3330, PM71319]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/WebSphere-AS-8-0-six-vulnerabilites-12133