Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/08/2013
IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.
Existen diversas vulnerabilidades (CVE-2013-2967,CVE-2013-4004, CVE-2013-4005) de cross-site scripting causadas por un error de validación de entradas cuando se procesan los datos introducidos por el usuario en
Un atacante local podría obtener información sensible debido a un uso incorrecto de la caché por la consola de administración (CVE-2013-2976). Se corrige también el fallo del protocolo TLS del componente GSKIT del servidor IBM http (CVE-2013-0169), que permite obtener el texto plano descifrado estudiando los tiempos de respuesta del servidor a los mensajes generados por el atacante. Podría servir, por ejemplo, para obtener el texto plano de una cookie de autenticación cifrada, también conocido como "Lucky Thirteen".
WebSphere Application Server configurado para el uso de OAuth puede permitir a un atacante remoto obtener las credenciales de otro usuario (CVE-2013-059). El modulo mod_rewrite de IBM HTTP Server no filtra adecuadamente las secuencias de escape de los logs (CVE-2013-1862), mientras que un problema (CVE-2013-1896) en el módulo mod_dav puede permitir la construcción de ataques de denegación de servicio. También se producen condiciones de denegación de servicio con el uso de Apache Ant para comprimir archivos (CVE-2012-2098).
Sistemas Afectados:IBM WebSphere Application Server
Referencias:CVE-2013-2967, CVE-2013-4004, CVE-2013-4005, CVE-2013-3029, CVE-2013-2976, CVE-2013-0169, CVE-2013-059, CVE-2013-1862, CVE-2013-1896, CVE-2012-2098
Solución:Para WebSphere Application Server
Para WebSphere Application Server
Para WebSphere Application Server
Para WebSphere Application Server
Para WebSphere Application Server 6.1.0 a 6.1.0.45 se recomienda instalar el Fix Pack 47 (6.1.0.47) o posterior (disponible a mediados de septiembre de 2013).
Security Bulletin: Potential Security Vulnerabilities fixed in IBM WebSphere Application Server 8.0.0.7
http://www-304.ibm.com/support/docview.wss?uid=swg21644047