Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

26/04/2011

Debilidad en el cifrado de IBM WebSphere

Se ha anunciado una vulnerabilidad en IBM WebSphere Application Server y WebSphere Commerce, que podría permitir a un atacante conseguir acceso a información sensible.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

El problema reside en un algoritmo de cifrado débil, empleado por WS-Security para cifrar los datos intercambiados a través del Web Service (JAX-WS o JAX-RPC). Esto podría permitir a un atacante descubrir los datos cifrados contenidos en las peticiones web.

Sistemas Afectados:

IBM WebSphere Application Server (5.0.x, 5.1.x, 6.0.x, 6.1.x y 7.0.x) 
IBM WebSphere Commerce (6.0.x y 7.0.x)

Referencias:

None

Solución:

IBM ha publicado las siguientes actualizaciones para corregir estos problemas:
Para IBM WebSphere Application Server: http://www.ibm.com/support/docview.wss?uid=swg21474220
Para IBM WebSphere Commerce: http://www-01.ibm.com/support/docview.wss?uid=swg21496880

Notas:

http://www.ibm.com/support/docview.wss?uid=swg21474220
http://www-01.ibm.com/support/docview.wss?uid=swg21496880
http://www.hispasec.com/unaaldia/4564

CSIRT-CV