|
 |
|
IBM WebSphere Application Server serveServletsByClassnameEnabled Preisgabe von Informationen
|
|
|
|
|
Secunia Advisory:
|
SA28576
|
|
|
Herausgegeben:
|
2008-01-21
|
|
Last Update:
|
2008-04-21
|
|
|
Gefahrenstufe:
|
Nicht kritisch
|
|
Auswirkung:
|
Enthüllung von Systeminformationen
|
|
Von Wo:
|
Aus dem Internet
|
|
Lösungsstatus:
|
Hersteller-Patch
|
|
| Software: | IBM WebSphere Application Server 6.0.x
IBM WebSphere Application Server 6.1.x
|
| | CVE reference: | CVE-2008-0389 (Secunia mirror)
|
|
|
Want to know the next time vulnerabilities are fixed in this product?
- Companies can be alerted via email and SMS! |
|
|
Beschreibung:
Eine Schwachstelle wurde in IBM WebSphere Application Server gemeldet, die böswillige Personen ausnutzen können, um sensible Informationen zu enthüllen.
Das Problem besteht, da serveServletsByClassnameEnabled standardmäßig auf "true" gesetzt ist, wodurch bestimmte Informationen enthüllt werden können (z.B. der Java Klassenname). Diese Informationen könnten einem Angreifer helfen, Angriffsvektoren zu finden.
Die Schwachstelle ist in folgenden Versionen gemeldet:
Für Distributed:
* 6.1.0.9 bis einschließlich 6.1.0.13
* 6.1.0.2 bis einschließlich 6.1.0.7
* 6.1 bis einschließlich 6.1.0.1
* 6.0.2.25
* 6.0.2.13 bis einschließlich 6.0.2.23
* 6.0.2.9 bis einschließlich 6.0.2.11
* 6.0.2.5 bis einschließlich 6.0.2.7
* 6.0.2 bis einschließlich 6.0.2.3
* 6.0.1 bis einschließlich 6.0.1.2
* 6.0 bis einschließlich 6.0.0.3
Für i5/OS:
* 6.1 bis einschließlich 6.1.0.14
* 6.0.2.13 bis einschließlich 6.0.2.23
* 6.0.2 bis einschließlich 6.0.2.12
Für z/OS:
* 6.1 bis einschließlich 6.1.0.14
* 6.0.2 bis einschließlich 6.0.2.25 für z/OS.
HINWEIS: Die Standardeinstellung für serveServletsByClassnameEnabled in Versionen 5.1, 5.0 und 4.0 ist "false".
Lösung:
WebSphere Application Server Version 6.0.2:
Verwenden Sie Fix Pack 27.
http://www-1.ibm.com/support/docview.wss?uid=swg27006876
Verwenden Sie APAR PK52059 oder einen Fix Pack mit diesem APAR. Siehe Advisory des Herstellers für Details.
Gemeldet und/oder entdeckt von:
Durch den Hersteller gemeldet.
Änderungen:
2008-02-04: "Lösung" und "Beschreibung" mit neuen Informationen von dem Hersteller aktualisiert. Gefahrenstufe gesenkt. CVE-Referenz hinzugefügt.
2008-04-21: "Lösung" aktualisiert.
Original Advisory:
IBM (PK52059):
http://www-1.ibm.com/support/docview.wss?uid=swg21288860
http://www-1.ibm.com/support/docview.wss?uid=swg24018067
|
|
|
|
|
Please note: The information that this Secunia Advisory is based on comes from a third party unless stated otherwise.
Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.
|
|
|
|
29 Related Secunia Security Advisories, displaying 10
|
|
|
1. IBM WebSphere Application Server mehrere Sicherheitslücken
|
|
2. WebSphere Application Server zwei Sicherheitslücken
|
|
3. IBM WebSphere Application Server for z/OS HTTP Server Sicherheitslücke
|
|
4. IBM WebSphere Application Server Zwei Sicherheitslücken
|
|
5. IBM WebSphere "uddigui/navigateTree.do" Cross-Site-Scripting- und Request-Forgery
|
|
6. IBM WebSphere Application Server unspezifizierte Sicherheitslücke
|
|
7. WebSphere Application Server für z/OS HTTP Server Denial of Service
|
|
8. IBM WebSphere Application Server for z/OS HTTP Server Sicherheitslücken
|
|
9. IBM WebSphere Application Server Unspezifizierte Sicherheitslücke
|
|
10. IBM WebSphere Application Server unspezifizierte Sicherheitslücke
|
Show all related advisories
|
|
|
Send Feedback to Secunia
|
|
If you have new information regarding this Secunia advisory or a product in our database, please send it to us using either our web form or email us at vuln@secunia.com.
Ideas, suggestions, and other feedback are most welcome.
|
|
|
|
|
|
Secunia PSI
Scan | Patch | Track
Free Download
|
|
|
Secunia Poll
|
|
|
|
|
 |
|
|
Most Popular Advisories
|
|
|
|
|
|
