sábado, 23 de abril de 2011

Debilidad en el cifrado de IBM WebSphere

Se ha anunciado una vulnerabilidad en IBM WebSphere Application Server (versiones 5.0.x, 5.1.x, 6.0.x, 6.1.x y 7.0.x) y WebSphere Commerce (versiones 6.0.x y 7.0.x), que podría permitir a un atacante conseguir acceso a información sensible.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

El problema reside en un algoritmo de cifrado débil, empleado por WS-Security para cifrar los datos intercambiados a través del Web Service (JAX-WS o JAX-RPC). Esto podría permitir a un atacante descubrir los datos cifrados contenidos en las peticiones web.

IBM ha publicado las siguientes actualizaciones para corregir estos problemas:
Para IBM WebSphere Application Server:
http://www.ibm.com/support/docview.wss?uid=swg21474220
Para IBM WebSphere Commerce:
http://www-01.ibm.com/support/docview.wss?uid=swg21496880


Antonio Ropero
antonior@hispasec.com



No hay comentarios:

Publicar un comentario en la entrada