Se
han anunciado múltiples vulnerabilidades en IBM WebSphere Application Server
(versiones 7, 8, 8.5 y 8.5.5) y en IBM http Server que podrían permitir a un
atacante remoto obtener información sensible, evitar restricciones de seguridad
o provocar condiciones de denegación de servicio.
IBM WebSphere Application Server
(WAS) es el servidor de aplicaciones de software de la familia WebSphere de
IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos
incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet
Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft,
Windows y Solaris.
Existen tres vulnerabilidades
de fuga de información en WebSphere Application Server por páginas de error al
cargar URLs específicamente construidas (CVE-2014-3022),
por el tratamiento inadecuado de respuestas SOAP (CVE-2014-0965)
y por fallos al restringir el acceso a recursos localizados dentro de la
aplicación web (CVE-2014-3083).
Por otra parte el servidor de
aplicaciones de IBM también se ve afectado por un problema de evasión de
restricciones de seguridad (CVE-2014-3070)
por una creación de cuenta inadecuada con el Virtual Member Manager SPI Admin
Task addFileRegistryAccount. Y una denegación de servicio en WebSphere
Application Server en Windows con Load Balancer para IPv4 Dispatcher (CVE-2014-4764).
Otras dos vulnerabilidades
afectan a IBM HTTP Server, una denegación de servicio al registrar determinadas
cookies en el registro (CVE-2014-0098) y otro problema en el tratamiento de
determinados mensajes SSL que podrían provocar un incremento del consumo de CPU
(CVE-2014-0963).
Dada la diversidad de versiones y
productos afectados se recomienda consultar el boletín de IBM en:
Más información:
Security Bulletin: Potential Security
Vulnerabilities fixed in IBM WebSphere Application Server 8.5.5.3
Antonio Ropero
Twitter: @aropero