Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
21/08/2014
Denegación de servicio y fallos de seguridad múltiples en IBM Websphere Aplication Server e IBM HTTP Server
IBM ha publicado un boletín de seguridad indicando varias vulnerabilidades que afectan a distintos componentes del servidor web y de aplicaciones.Las vulnerabilidades descritas tienen como consecuencia fuga de información, denegación de servicio y sobrecarga de CPU afectando a los productos IBM WebSphere Application Server e IBM HTTP Server.
Websphere Application Server: Fuga de información ( CVE-2014-3022, CVE-2014-0965 y CVE-2014-3083 ), denegación de servicio ( CVE-2014-4764 ) e inclusión de código ( CVE-2014-4767 ).
IBM HTTP Server: Denegación de servicio ( CVE-2014-0963, CVE-2014-0098) y fuga de información sensitiva ( CVE-2014-0076 ).
Especiamente críticas son las que afectan al servidor web IBM HTTP en el manejo de ciertos mensajes SSL que pueden provocar sobrecarga de CPU afectando a la disponibilidad del servicio ( Security Bulletin: IBM HTTP Server CPU utilization (CVE-2014-0963)).
Sistemas Afectados:
- IBM WebSphere Application Server versiones 7, 8 y 8.5
- Componente IBM HTTP Server en WebSphere Application Server versiones 6.0, 6.1,7 ,8, 8.5 y 8.5.5
CVE-2014-3022, CVE-2014-0965, CVE-2014-3083,CVE-2014-4764, CVE-2014-0963, CVE-2014-0098, CVE-2014-0076.
Solución:IBM detalla la solución específica para cada producto, proponiendo el parche necesario o la contramedida a aplicar. Para su aplicación consultar el boletín publicado por el fabricante: Potential Security Vulnerabilities in IBM WebSphere Application Server.
Notas: