lunes, 16 de febrero de 2015

Vulnerabilidades en IBM WebSphere Application Server

IBM ha publicado una actualización para corregir múltiples vulnerabilidades en IBM WebSphere Application Server que podrían permitir la realización ataques de Cross-Site Request Forgery, de Cross-Site Scripting, obtener información sensible o evitar restricciones de seguridad. 
  
IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

Problemas corregidos:
  • Obtención de información sensible por una vulnerabilidad en cabeceras HTTP empleadas por Web Applications (CVE-2014-3021).
  • Salto de restricciones de seguridad por una creación inadecuada de cuentas con Virtual Member Manager SPI Admin Task addFileRegistryAccount (CVE-2014-3070).
  • Obtención de información sensible por un fallo al restringir el acceso a los recursos de la aplicación web (CVE-2014-3083).
  • El componente GSKit de IBM HTTP Server puede permitir a un atacante local obtener información sensible por un error de implementación en ECDSA (Elliptic curve Digital Signature Algorithm) (CVE-2014-0076).
  • Denegación de servicio en WebSphere Application Server en Windows con Load Balancer para IPv4 Dispatcher (CVE-2014-4764).
  • Diversas vulnerabilidades en IBM HTTP Server (CVE-2014-0226, CVE-2014-0231, CVE-2014-0118 y CVE-2013-5704).
  • La consola de administración de IBM WebSphere Application Server es vulnerable a ataques de cross-site scripting y cross-site request forgery (CVE-2014-4770 y CVE-2014-4816).
  • Cross-site scripting en IBM WebSphere Application Server (CVE-2014-6167).
  • El servicio WebSphere Application Server Communications Enabled Applications (CEA) puede permitir a un atacante remoto obtener infromación sensible, al tratar datos XML (CVE-2014-6166).
  • La consola de administración de IBM WebSphere Application Server puede permitir a un atacante falsear las acciones de la víctima (CVE-2014-6174).
  • SSLv3 se ve afectado por la vulnerabilidad POODLE (CVE-2014-3566).


Se ven afectadas las versiones de IBM WebSphere Application Server 6.1, 7.0, 8.0, 8.5 y 8.5.5.

IBM ha publicado la versión IBM WebSphere Application Server 8.0.0.10 que soluciona estas vulnerabilidades.

Más información:

Security Bulletin: Potential Security Vulnerabilities fixed in IBM WebSphere Application Server 8.0.0.10


Antonio Ropero

Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada