CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

13/10/2014

Vulnerabilitats en IBM WebSphere Application Server

IBM ha publicat una actualització per a corregir dos vulnerabilitats en IBM WebSphere Application Server que podrien permetre la realització atacs de Cross-Site Request Forgery i de Cross-Site Scripting.

Riesgo: Medio

IBM WebSphere Application Server (WAS) és el servidor d’aplicacions de programari de la família WebSphere d’IBM. WAS pot funcionar amb diferents servidors web i sistemes operatius, incloent-hi Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemes operatius AIX, Linux, Microsoft, Windows i Solaris.

La consola d’administració d’IBM WebSphere Application Server és vulnerable a atacs de Cross-Site Request Forgery (CSRF) i de Cross-Site Scripting. Les vulnerabilitats tenen assignats els CVE CVE-2014-4816 i CVE-2014-4770 , respectivament. Ambdós problemes residixen en una validació inadequada de les entrades sobre la interfície d’administració del servidor.

Els atacs podrien ser utilitzats per atacants remots per a realitzar accions no autoritzades sobre la consola d’administració, accedir a les galetes (incloent-hi les d’autenticació) o a informació recentment enviada.

Sistemas Afectados:

Es veuen afectades les versions d’IBM WebSphere Application Server 6.0.2, 6.1, 7.0, 8.0, 8.5 i 8.5.5.

Referencias:

CVE-2014-4816,CVE-2014-4770

Solución:

IBM ha publicat l’Interim Fix PI23055 per a solucionar estes vulnerabilitats, disponible des de:

http://www-01.ibm.com/support/docview.wss?uid=swg24038403

S’ha d’actualitzar a l’últim Fix Pack disponible i després aplicar esta actualització.

Notas:

Security Bulletin: Potential Security exposures with WebSphere Application Server (CVE-2014-4770 and CVE-2014-4816)

http://www-01.ibm.com/support/docview.wss?uid=swg21682767

 

Fuente: Hispasec una-al-día

CSIRT-CV