IBM Websphere应用服务器以Java和Servlet引擎为基础,支持多种HTTP服务,可帮助用户完成从开发、发布到维护交互式的动态网站的所有工作。
IBM WebSphere应用服务器的HTTP Transport组件中的HTTP_Request_Parser方式没有正确地验证用户所提交的HTTP请求。如果远程攻击者在请求中包含有超长的HTTP Host头的话,就可能导致拒绝服务(0C4控制器异常结束和应用程序挂起)。
如果将Certificate Store Collections配置为使用证书撤销列表(CRL)的话,WebSphere应用服务器的Web Services Security组件就没有对PKIXBuilderParameters对象调用setRevocationEnabled方式,导致Java安全方式无法检查X.509证书的撤销状态。远程攻击者可以通过发送带有已撤销证书的SOAP消息绕过预期的访问限制。
