domingo, 20 de junio de 2010

Vulnerabilidad en IBM WebSphere Application Server permite la lectura de archivos

Se ha reportado una vulnerabilidad en IBM WebSphere Application Server que podría permitir a un atacante remoto leer o visualizar el contenido de archivos arbitrarios en el sistema afectado.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

Afecta a IBM WebSphere Application Server versiones 7.0 a 7.0.0.12, Feature Pack para Web Services versiones 6.1.0.9 a 6.1.0.32, y Feature Pack para Web 2.0 versión 1.0.1.0.

Un atacante remoto podrá introducir un mensaje XML específicamente creado, para aprovechar un error en Apache Axis2 que permitirá visualizar el contenido de archivos arbitrarios del sistema. Se ven afectados los sistemas con el parámetro disableREST (en axis2.xml) establecido como falso.

IBM ha publicado diferentes actualizaciones para corregir esta vulnerabilidad, se recomienda consultar el aviso de seguridad publicado para acceder a los diferentes parches en función de la versión afectada.


Antonio Ropero
antonior@hispasec.com


Más información:

Potential security exposure with IBM WebSphere Application Server with JAX-WS or JAX-RS (PM14844, PM14847, PM14765)
http://www-01.ibm.com/support/docview.wss?uid=swg21433581

No hay comentarios:

Publicar un comentario en la entrada