CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

13/10/2014

Vulnerabilitats en IBM WebSphere Application Server

IBM ha publicado una actualización para corregir dos vulnerabilidades en IBM WebSphere Application Server que podrían permitir la realización ataques de Cross-Site Request Forgery y de Cross-Site Scripting.

Risc: Mitjà

BM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

La consola de administración de IBM WebSphere Application Server es vulnerable a ataques de Cross-Site Request Forgery (CSRF) y de Cross-Site Scripting. Las vulnerabilidades tienen asignados los CVE CVE-2014-4816 y CVE-2014-4770 respectivamente. Ambos problemas residen en una validación inadecuada de las entradas sobre la interfaz de administración del servidor.
Los ataques podrían emplearse por atacantes remotos para realizar acciones no autorizadas sobre la consola de administración, acceder a las cookies (incluyendo las de autenticación) o a información recientemente enviada.

 

Sistemes Afectats:

Se ven afectadas las versiones de IBM WebSphere Application Server 6.0.2, 6.1, 7.0, 8.0, 8.5 y 8.5.5.

Referències:

CVE-2014-4816,CVE-2014-4770

Solució:

IBM ha publicado el Interim Fix PI23055 para solucionar estas vulnerabilidades, disponible desde:

http://www-01.ibm.com/support/docview.wss?uid=swg24038403
Se debe actualizar al último Fix Pack disponible y luego aplicar esta actualización.

 

Notes:

Security Bulletin: Potential Security exposures with WebSphere Application Server (CVE-2014-4770 and CVE-2014-4816)

http://www-01.ibm.com/support/docview.wss?uid=swg21682767

 

Font: Hispasec una-al-día

CSIRT-CV