Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
13/10/2014
IBM WebSphere Application Server (WAS) és el servidor d’aplicacions de programari de la família WebSphere d’IBM. WAS pot funcionar amb diferents servidors web i sistemes operatius, incloent-hi Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemes operatius AIX, Linux, Microsoft, Windows i Solaris.
La consola d’administració d’IBM WebSphere Application Server és vulnerable a atacs de Cross-Site Request Forgery (CSRF) i de Cross-Site Scripting. Les vulnerabilitats tenen assignats els CVE CVE-2014-4816 i CVE-2014-4770 , respectivament. Ambdós problemes residixen en una validació inadequada de les entrades sobre la interfície d’administració del servidor.
Els atacs podrien ser utilitzats per atacants remots per a realitzar accions no autoritzades sobre la consola d’administració, accedir a les galetes (incloent-hi les d’autenticació) o a informació recentment enviada.
Sistemas Afectados:Es veuen afectades les versions d’IBM WebSphere Application Server 6.0.2, 6.1, 7.0, 8.0, 8.5 i 8.5.5.
Referencias:CVE-2014-4816,CVE-2014-4770
Solución:IBM ha publicat l’Interim Fix PI23055 per a solucionar estes vulnerabilitats, disponible des de:
http://www-01.ibm.com/support/docview.wss?uid=swg24038403
S’ha d’actualitzar a l’últim Fix Pack disponible i després aplicar esta actualització.
Notas:Security Bulletin: Potential Security exposures with WebSphere Application Server (CVE-2014-4770 and CVE-2014-4816)