martes, 27 de septiembre de 2011

Cross-Site Request Forgery en IBM WebSphere Application Server

IBM ha publicado un Fix Pack para corregir una vulnerabilidad en IBM WebSphere Application Server que podría permitir a un atacante remoto forzar a un administrador a realizar acciones no deseadas en la consola de administración.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

Afecta a IBM WebSphere Application Server versiones 8.0. La consola de administración de IBM WebSphere Application Server es vulnerable a ataques de Cross-Site Request Forgery (CSRF) o falsificación de petición en sitios cruzados. El servidor no comprueba la procedencia de las peticiones HTTP sobre la interfaz de administración del servidor. Si un administrador con una sesión válida visita una página especialmente manipulada los atacantes podrían ejecutar acciones con privilegio de administrador sobre el servidor.

Para corregir este problema IBM ha publicado el Fix Pack 1 (APAR PM36734) para IBM WebSphere Application Server V8.0 (8.0.0.1) disponible desde
http://www-01.ibm.com/support/docview.wss?uid=swg27022958


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Más información:

Fix list for IBM WebSphere Application Server V8.0
http://www-01.ibm.com/support/docview.wss?uid=swg27022958

No hay comentarios:

Publicar un comentario en la entrada