漏洞标题: - PM21536: USER CREDENTIAL REMAINS IN THE CACHE WHEN THE USER IS LOGGED OUT. 漏洞描述: - 用户通过Tivoli Integrated Portal(TIP)或嵌入式WebSphere Application Server(eWAS)框架登录和登出时,LTPA token2没有被销毁,导致用户凭证在用户登出后仍保留在缓存中。 影响用户: - 所有使用IBM WebSphere Application Server的用户 修复状态: - 关闭,归类为程序错误 临时修复: - 未提供临时修复方案 问题总结: - 一些缓存在用户登出时未被删除。 修复建议: - 当 方法返回有效的用户ID时,当前代码通过使用用户ID和Realm名删除AuthCache中的条目。在这种情况下,首先通过用户ID查找缓存条目,如果存在则删除。然而,如果以用户ID为缓存键的缓存条目已被驱逐,但其他使用不同缓存键的缓存条目仍然存在,该代码路径不会删除这些缓存条目。 问题结论: - 通过此修复,当用户登出时,所有与特定用户关联的缓存条目都被删除。此修复将包含在6.1.0.35和7.0.0.15的修复包中。 APAR信息: - APAR号码: PM21536 - 报告组件名称:WEBS APP SERV N - 报告组件ID:5724H880061W - 提交日期:2010-08-30 - 关闭日期:2010-09-13 - 最后修改日期:2010-09-13 适用组件级别: - R61A PSY UP - R61H PSY UP - R61I PSY UP - R61P PSY UP - R61S PSY UP - R61W PSY UP - R61Z PSY UP - R700 PSY UP