2011년 8월 25일 목요일

[WebSphere] 보안이슈관련 Fix 권고 내용

해당 호스트에는 6.1.0.33 이전의 IBM WebSphere Application 서버의 어떤 버전이 해당 호스트에 가동 중이다.
IBM WebSphere Application Server 6.1.0.33 이전의 6.1 버전들은 다중의 취약점들에 취약한 것으로 보고되었다.
-관리자 콘솔에 정의되지 않은 cross-site 스크립팅 취약점이 존재한다.
-XML Web 서비스의 자바 API 에 WS-Security 정책에 Time Stamp 값이 사용될 때 정의되지 않은 취약점이 존재한다.
-<WAS_HOME>/logs/managedrofiles/*create.log 파일의 'ceiDbPasswordDefaulter' 에 민감한 정보가 저장되어 있다.
-Security tracing 이 사용하게 되어있고, LoginContext 에서 logout 을 호출할 때 NullPointerException 이 발생한다.
* 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 웹 서버의 배너 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다.
* 참고 사이트:
http://www-01.ibm.com/support/docview.wss?uid=swg1PM02636
http://www-01.ibm.com/support/docview.wss?uid=swg21443736
http://www-01.ibm.com/support/docview.wss?uid=swg1PM12065
http://www-01.ibm.com/support/docview.wss?uid=swg1PM11778

* 영향을 받는 플랫폼:
IBM WebSphere Application Server 6.1.0.33 and 7.0.0.13
작성자: 시간:
라벨:

댓글 없음:

댓글 쓰기

피드 구독하기: 댓글 (Atom)