Lucene search
K
Database
Vendors
Products
Years
CVSS
Scanner
Agent Scanning
API Scanning
Manual Audit
Perimeter Scanner
Scanning
Projects
Email
Webhook
Plugins
Resources
Documents
Blog
Glossary
FAQ
Pricing
Contacts
About Us
Partners
Branding Guideline
seebugRootSSV:4346
HistoryOct 27, 2008 - 12:00 a.m.

IBM WebSphere应用服务器拒绝服务及绕过安全限制漏洞

2008-10-2700:00:00
Root
www.seebug.org
17

0.019 Low

EPSS

Percentile

88.6%

JSON

BUGTRAQ ID: 31839
CVE(CAN) ID: CVE-2008-4678,CVE-2008-4679

IBM Websphere应用服务器以Java和Servlet引擎为基础,支持多种HTTP服务,可帮助用户完成从开发、发布到维护交互式的动态网站的所有工作。

IBM WebSphere应用服务器的HTTP Transport组件中的HTTP_Request_Parser方式没有正确地验证用户所提交的HTTP请求。如果远程攻击者在请求中包含有超长的HTTP Host头的话,就可能导致拒绝服务(0C4控制器异常结束和应用程序挂起)。

如果将Certificate Store Collections配置为使用证书撤销列表(CRL)的话,WebSphere应用服务器的Web Services Security组件就没有对PKIXBuilderParameters对象调用setRevocationEnabled方式,导致Java安全方式无法检查X.509证书的撤销状态。远程攻击者可以通过发送带有已撤销证书的SOAP消息绕过预期的访问限制。

IBM Websphere Application Server 6.0.x
IBM

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

<a href=“http://www-01.ibm.com/support/docview.wss?uid=swg27007951” target=“_blank”>http://www-01.ibm.com/support/docview.wss?uid=swg27007951</a>
<a href=“http://www-01.ibm.com/support/docview.wss?uid=swg27006876” target=“_blank”>http://www-01.ibm.com/support/docview.wss?uid=swg27006876</a>

Related

nessus 1
cve 2
nvd 2
cvelist 2
prion 2
nessus
nessus
IBM WebSphere Application Server < 6.0.2.31 Multiple Vulnerabilities
2008-10-27 00:00:00
cve
cve
CVE-2008-4678
2008-10-22 18:00:00
CVE-2008-4679
2008-10-22 18:00:00
nvd
nvd
CVE-2008-4678
2008-10-22 18:00:00
CVE-2008-4679
2008-10-22 18:00:00
cvelist
cvelist
CVE-2008-4679
2008-10-22 17:00:00
CVE-2008-4678
2008-10-22 17:00:00
prion
prion
Design/Logic Flaw
2008-10-22 18:00:00
Security feature bypass
2008-10-22 18:00:00

0.019 Low

EPSS

Percentile

88.6%

JSON
Related for SSV:4346
nessus1cve2nvd2cvelist2prion2