sábado, 31 de julio de 2004

Denegación de servicio en IBM WebSphere 4.0.x

Se ha descubierto una vulnerabilidad en IBM WebSphere que permitiría a
usuarios maliciosos realizar ataques de denegación de servicio contra
sistemas afectados.

IBM ha informado que un usuario remoto puede enviar una petición
HTTP especialmente construida a tal efecto (en la que se ven involucradas
cabeceras de gran tamaño) para provocar la caída del servicio web.

La vulnerabilidad ha sido confirmada en las versiones 4.0.1, 4.0.2 y
4.0.3 de dicho software.

IBM ha publicado una versión corregida (4.0.4), denominada Fix Pack 4
for IBM WebSphere Application Server Version 4.0. Tanto el parche APAR
como el Fix Pack están disponibles en la siguiente dirección:
http://www.ibm.com/software/webservers/appserv/was/support/
Una vez en esa dirección, hay que buscar "PQ62144" o "Fix Pack 4.0".


Julio Canto
jcanto@hispasec.com


Más información:

IBM WebSphere Can Be Crashed By Remote Users Sending Large HTTP Headers
http://www.securitytracker.com/alerts/2004/Jul/1010797.html

No hay comentarios:

Publicar un comentario