发布日期：2001-09-19
更新日期：2001-09-24

受影响系统：

IBM Websphere 4.0

描述：

---

IBM websphere 4.0使用“sessionid”来跟踪和认证用户，但是发现该“sessionid”
不是完全随机的，而是类似“TWGxxxxyAAACVPQ3UUSZQV2I”的部分随机形式，其中
“xxxxy”是随机字符，为“A-Z0-9”的组合。

因此，攻击者可能利用穷举“sessionid”的方式读取，修改甚至删除任意用户的敏感
数据。

<*来源：Marc Heuse （marc@suse.de）
  参考：http://archives.neohapsis.com/archives/bugtraq/2001-09/0161.html
*>

建议：

---

厂商补丁：

目前厂商已经发布了升级补丁PQ47663V302，请到厂商的主页下载：
http://www-4.ibm.com/software/webservers/appserv/



浏览次数：3744
严重程度：0（网友投票）