viernes, 21 de mayo de 2010

Acceso a información sensible en IBM WebSphere Application Server

Se ha anunciado una vulnerabilidad en IBM WebSphere Application Server (versiones 6.x y 7.0), que podría permitir a un atacante la obtención de información sensible.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

El problema reside en el Web Container cuando maneja nombres de más de 20 caracteres. Un atacante podría aprovechar esto para provocar que el servidor devuelva un archivo erróneo y conseguir acceder a archivos arbitrarios.

Para IBM WebSphere Application Server 7.0.x se recomienda instalar el Fix Pack 7.0.0.11 o APAR PM06111
Para IBM WebSphere Application Server 6.1.x se recomienda instalar el Fix Pack 6.1.0.31 o APAR PM06111
Para IBM WebSphere Application Server 6.0.x se recomienda instalar el Fix Pack 6.0.2.43 o APAR PM06111


Antonio Ropero
antonior@hispasec.com


Más información:

Recommended fixes for WebSphere Application Server
http://www-01.ibm.com/support/docview.wss?rs=180&uid=swg27004980

WebSphere Application Server Web Container information disclosure
was-webcontainer-info-disclosure (58557)
http://xforce.iss.net/xforce/xfdb/58557

No hay comentarios:

Publicar un comentario en la entrada