Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
21/08/2014
Denegació de servici i errors de seguretat múltiples en IBM Websphere Aplication Server i IBM HTTP Server
IBM ha publicat un butlletí de seguretat on indica diverses vulnerabilitats que afecten distints components del servidor web i d’aplicacions.Les vulnerabilitats descrites tenen com a conseqüència fuga d’informació, denegació de servici i sobrecàrrega de CPU que afecten els productes IBM WebSphere Application Server i IBM HTTP Server.
Websphere Application Server: fuga d’informació (CVE-2014-3022, CVE-2014-0965 i CVE-2014-3083), denegació de servici (CVE-2014-4764) i inclusió de codi (CVE-2014-4767).
IBM HTTP Server: denegació de servici (CVE-2014-0963, CVE-2014-0098) i fuga d’informació sensitiva (CVE-2014-0076).
Especialment crítiques són les que afecten el servidor web IBM HTTP en el maneig de determinats missatges SSL que poden provocar sobrecàrrega de CPU i afectar la disponibilitat del servici (Security Bulletin: IBM HTTP Server CPU utilization (CVE-2014-0963)).
Sistemes Afectats:- IBM WebSphere Application Server versions 7, 8 i 8.5.
- Component IBM HTTP Server en WebSphere Application Server versions 6.0, 6.1,7 ,8, 8.5 i 8.5.5.
CVE-2014-3022, CVE-2014-0965, CVE-2014-3083,CVE-2014-4764, CVE-2014-0963, CVE-2014-0098, CVE-2014-0076.
Solució:IBM detalla la solució específica per a cada producte, i proposa el pedaç necessari o la contramesura que s'ha d'aplicar. Per a la seua aplicació, consulteu el butlletí publicat pel fabricant: Potential Security Vulnerabilities in IBM WebSphere Application Server.
Notes: