miércoles, 8 de marzo de 2006

Revelación de código fuente JSP en IBM Websphere Application Server

El "Gigante Azul" ha anunciado recientemente una vulnerabilidad en IBM
Websphere Application Server, que podría facilitar acceso a código
fuente JavaServer Pages, JSP, código que en condiciones normales sólo
debería ser ejecutable, pero nunca visible.

IBM Websphere es una plataforma bastante popular, orientada a la
prestación de servicios empresariales "on demand". Estos servicios
empresariales representan una corriente de gestión moderna con tasas
de implantación crecientes. Los sistemas "on demand" permiten obtener,
en condiciones de operación controlada, flexibilidad en la
infraestructura, integración cómoda de software y sistemas, mejores
tasas de productividad y una mejora en lo que las nuevas corrientes
denominan resiliencia de negocio, concepto que procede de la
ingeniería y ciencia de materiales y que hace referencia a la
capacidad de un material de absorber energía ante las deformaciones.
El término, aplicado a los negocios y concretamente, a la gestión de
la seguridad de la información, expresa la capacidad de adaptación
ante estímulos, amenazas y riesgos externos, de modo que la
continuidad del negocio quede mínimamente afectada.

Los orígenes de este producto se remontan a 1998, cuando se concibió
un primigenio motor de servlets que sería punto de partida para el
servidor de aplicaciones futuro. Websphere Application Server es un
producto multiplataforma, ya que es posible ejecutarlo con el respaldo
de múltiples servidores Web, como Apache HTTP Server, Microsoft
Internet Information Services, Netscape Enterprise Server, así como
los servidores propios de IBM: HTTP server para i5/OS, para
AIX/Linux/Solaris y Microsoft Windows, y para las series z/OS. Esta
flexibilidad operativa se debe al empleo de estándares consolidados,
como Java 2 Platform Enterprise Edition (J2EE), Web Services y XML.

El ramillete de versiones afectadas es muy numeroso. Según el boletín
de IBM, las versiones afectadas son 5.0.2.10, 5.0.2.11, 5.0.2.12,
5.0.2.13, 5.0.2.1, 5.0.2.15 y 5.0.2.16 en lo referente a la rama
5.0.x, así como las versiones 5.1.1.4, 5.1.1.5, 5.1.1.6, 5.1.1.7,
5.1.1.8 y 5.1.1.9 en lo relativo a la rama 5.1.x. Dependiendo de la
versión que se tenga en producción, será preceptivo parchear acorde
a lo recogido en los enlaces que aparecen en la sección "más
información"

Bajo ciertas condiciones, no reveladas por IBM, el código fuente JSP
podría ser mostrado en los navegadores que accedan al servidor de
aplicaciones, con el consiguiente riesgo de revelación de contenidos
sensibles y/o de los mecanismos de control y ejecución presentes en el
código, lo que podría ser aprovechado para obtener información
privilegiada, así como tratar de adulterar los controles de los
componentes cuyo código quedase al descubierto.

El fabricante ha dispuesto de un enlace, que aparece al pie de la
noticia, en la que se exponen, para cada caso, las pautas y
actuaciones recomendables, para cada caso de fallo diagnosticado. Los
usuarios afectados, en caso de duda, pueden recurrir al servicio
posventa de la compañía para obtener información adicional al
respecto.


Sergio Hernando
shernando@hispasec.com


Más información:

IBM Websphere
http://www-306.ibm.com/software/info1/websphere/index.jsp

Possible security exposure with JSP source code on IBM WebSphere
Application Server
http://www-1.ibm.com/support/docview.wss?uid=swg21231377

Listado de parches recomendado
http://www-1.ibm.com/support/docview.wss?rs=180&uid=swg27004980