miércoles, 20 de agosto de 2014

Múltiples vulnerabilidades en IBM WebSphere Application Server e IBM HTTP Server

Se han anunciado múltiples vulnerabilidades en IBM WebSphere Application Server (versiones 7, 8, 8.5 y 8.5.5) y en IBM http Server que podrían permitir a un atacante remoto obtener información sensible, evitar restricciones de seguridad o provocar condiciones de denegación de servicio.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

Existen tres vulnerabilidades de fuga de información en WebSphere Application Server por páginas de error al cargar URLs específicamente construidas (CVE-2014-3022), por el tratamiento inadecuado de respuestas SOAP (CVE-2014-0965) y por fallos al restringir el acceso a recursos localizados dentro de la aplicación web (CVE-2014-3083).

Por otra parte el servidor de aplicaciones de IBM también se ve afectado por un problema de evasión de restricciones de seguridad (CVE-2014-3070) por una creación de cuenta inadecuada con el Virtual Member Manager SPI Admin Task addFileRegistryAccount. Y una denegación de servicio en WebSphere Application Server en Windows con Load Balancer para IPv4 Dispatcher (CVE-2014-4764).

Otras dos vulnerabilidades afectan a IBM HTTP Server, una denegación de servicio al registrar determinadas cookies en el registro (CVE-2014-0098) y otro problema en el tratamiento de determinados mensajes SSL que podrían provocar un incremento del consumo de CPU (CVE-2014-0963).  

Dada la diversidad de versiones y productos afectados se recomienda consultar el boletín de IBM en:

Más información:

Security Bulletin: Potential Security Vulnerabilities fixed in IBM WebSphere Application Server 8.5.5.3
  


Antonio Ropero

Twitter: @aropero

martes, 19 de agosto de 2014

Denegación de servicio en Monkey Web Server

Se ha anunciado una vulnerabilidad de denegación de servicio en el servidor web Monkey Web Server versiones anteriores a 1.5.3.

Monkey Web Server es, como su nombre indica, un servidor web muy ligero y rápido y que además es software libre. Es muy útil y usado en pequeños sistemas como RaspberryPi o incluso móviles con software modificado, ya soporta procesadores ARM, x86 y x64.

Monkey Web Server cuenta con una tabla de descriptores de fichero (FDT) que es utilizada para compartir descriptores de fichero abiertos entre varios hilos y diferentes virtual hosts. Esto hace que la memoria usada para estos descriptores, en promedio, sea menor. En la configuración por defecto esta característica está activada.

Al realizar una petición que genere algún error personalizado, se abre el correspondiente archivo de disco para dicho error. Si un atacante solicita muchas páginas de error distintas, se abrirán un gran número de descriptores de fichero en la tabla FDT, hasta que el proceso alcance el límite de descriptores de fichero impuesto por el sistema operativo (que viene definido por el parámetro del sistema 'ulimit'). A partir de entonces, cualquier petición que requiera la apertura de un archivo quedará bloqueada y generará un error 403 hasta que el servidor web se reinicie.

La vulnerabilidad tiene asignado el CVE-2014-5336 y queda solucionada en la versión 1.5.3.

Más información:

Monkey HTTP Server v1.5.3 - Release notes:

GitHub - Request: new request session flag to mark those files opened
by FDT:



Antonio Sánchez