lunes, 20 de junio de 2011

Cross-Site Request Forgery en IBM WebSphere Application Server

Se ha reportado una vulnerabilidad en IBM WebSphere Application Server que podría permitir a un atacante remoto forzar a un administrador realizar acciones no deseadas en la consola de administración.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

Afecta a IBM WebSphere Application Server versiones 7.0.0.11 y 7.0.0.13, posiblemente versiones anteriores también se vean afectadas.

La consola de administración de IBM WebSphere Application Server es vulnerable a ataques de Cross-Site Request Forgery (CSRF) o falsificación de petición en sitios cruzados. Este ataque podría emplearse por atacantes remotos para realizar acciones no autorizadas sobre la consola de administración, engañando o forzando al administrador a visitar una página web maliciosa.

IBM planea publicar una actualización para corregir esta vulnerabilidad en el tercer cuatrimestre del año. Como contramedidas de acuerdo a la OWASP este tipo de vulnerabilidades pueden evitarse, entre otras formas, comprobando la cabecera "referer" de las peticiones http.


Antonio Ropero
antonior@hispasec.com
Twitter: http://www.twitter.com/aropero


Más información:

IBM WebSphere Application Server Cross-Site Request Forgery
http://www.coresecurity.com/content/IBM-WebSphere-CSRF

Cross-Site Request Forgery (CSRF) Prevention Cheat Sheet
https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet

1 comentario:

  1. this internet site is my intake , rattling wonderful design and style herve clothing and perfect subject material .

    ResponderEliminar