lunes, 24 de agosto de 2015

Vulnerabilidades en IBM WebSphere Application Server

IBM ha publicado unaactualización para corregir múltiples vulnerabilidades en IBM WebSphere Application Server que podrían permitir a un atacante remoto obtener información sensible o conseguir privilegios elevados en el sistema.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

El primero de los problemas (con CVE-2014-8890) podría permitir a un atacante remoto obtener privilegios elevados en el sistema si el despliegue del descriptor de las restricciones de seguridad se combina con anotaciones ServletSecurity en un servlet. WebSphere Application Server Full Profile y Liberty Profile podrían permitir a un atacante remoto obtener privilegios elevados en el sistema cuando se utilizan contraseñas OAuth (CVE-2015-1885).

Por otra parte, Apache Batik podría permitir a un atacante remoto obtener información sensible a través de archivos SVG especialmente diseñados (CVE-2015-0250). IBM WebSphere Application Server podría permitir a un atacante remoto obtener acceso no autorizado en el sistema debido a una aplicación con una configuración serveServletsbyClassname incorrecta (CVE-2015-1927).

IBM WebSphere Application Server e IBM WebSphere Virtual Enterprise podrían permitir a un atacante remoto obtener información que identifique el servidor proxy utilizado (CVE-2015-1932). Por último, IBM WebSphere Application Server podría permitir a un atacante remoto falsificar un servlet (CVE-2015-4938).

Se ven afectadas las versiones de IBM WebSphere Application Server 6.1, 7.0, 8.0, 8.5 y 8.5.5.

IBM ha publicado versiones actualizadas de IBM WebSphere Application Server para solucionar estas vulnerabilidades.
Para V8.0.0.0 a 8.0.0.10: Fix Pack 11 (8.0.0.11)
Para V8.5.0.0 a 8.5.5.5 Full Profile: Fix Pack 6 (8.5.5.6)
Para V8.5.0.0 a 8.5.5.4 Liberty Profile: Fix Pack 5 (8.5.5.5)
Para V7.0.0.0 a 7.0.0.37: Fix Pack 39 (7.0.0.39) (disponible en noviembre de 2015)
Para V6.1.0.0 a 6.1.0.47: Fix Pack 47 (6.1.0.47) y el Interim Fix PI31622

Más información:

Security Bulletin: Multiple Security Vulnerabilities fixed in IBM WebSphere Application Server 8.0.0.11



                                                                                                  
Antonio Ropero
Twitter: @aropero


No hay comentarios:

Publicar un comentario en la entrada