Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

18/02/2015

Vulnerabilidades en IBM WebSphere Application Server

IBM ha publicado una actualización para corregir múltiples vulnerabilidades en IBM WebSphere Application Server que podrían permitir la realización ataques de Cross-Site Request Forgery, de Cross-Site Scripting, obtener información sensible o evitar restricciones de seguridad

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

Problemas corregidos:

• Obtención de información sensible por una vulnerabilidad en cabeceras HTTP empleadas por Web Applications (CVE-2014-3021).
• Salto de restricciones de seguridad por una creación inadecuada de cuentas con Virtual Member Manager SPI Admin Task addFileRegistryAccount (CVE-2014-3070).
• Obtención de información sensible por un fallo al restringir el acceso a los recursos de la aplicación web (CVE-2014-3083).
• El componente GSKit de IBM HTTP Server puede permitir a un atacante local obtener información sensible por un error de implementación en ECDSA (Elliptic curve Digital Signature Algorithm) (CVE-2014-0076).
• Denegación de servicio en WebSphere Application Server en Windows con Load Balancer para IPv4 Dispatcher (CVE-2014-4764).
• Diversas vulnerabilidades en IBM HTTP Server (CVE-2014-0226, CVE-2014-0231, CVE-2014-0118 y CVE-2013-5704).
• La consola de administración de IBM WebSphere Application Server es vulnerable a ataques de cross-site scripting y cross-site request forgery (CVE-2014-4770 y CVE-2014-4816).
• Cross-site scripting en IBM WebSphere Application Server (CVE-2014-6167).
• El servicio WebSphere Application Server Communications Enabled Applications (CEA) puede permitir a un atacante remoto obtener infromación sensible, al tratar datos XML (CVE-2014-6166).
• La consola de administración de IBM WebSphere Application Server puede permitir a un atacante falsear las acciones de la víctima (CVE-2014-6174).
• SSLv3 se ve afectado por la vulnerabilidad POODLE (CVE-2014-3566).

Sistemas Afectados:

Se ven afectadas las versiones de IBM WebSphere Application Server 6.1, 7.0, 8.0, 8.5 y 8.5.5.

Referencias:

CVE-2014-3021,CVE-2014-3070, CVE-2014-3083, CVE-2014-0076, CVE-2014-4764, CVE-2014-0226, CVE-2014-0231, CVE-2014-0118, CVE-2013-5704, CVE-2014-4770, CVE-2014-4816, CVE-2014-6167, CVE-2014-6166, CVE-2014-6174, CVE-2014-3566

Solución:

IBM ha publicado la versión IBM WebSphere Application Server 8.0.0.10 que soluciona estas vulnerabilidades.

Notas:

Security Bulletin: Potential Security Vulnerabilities fixed in IBM WebSphere Application Server 8.0.0.10

CSIRT-CV