Se ha descubierto una vulnerabilidad en IBM WebSphere que permitiría a
usuarios maliciosos realizar ataques de denegación de servicio contra
sistemas afectados.
IBM ha informado que un usuario remoto puede enviar una petición
HTTP especialmente construida a tal efecto (en la que se ven involucradas
cabeceras de gran tamaño) para provocar la caída del servicio web.
La vulnerabilidad ha sido confirmada en las versiones 4.0.1, 4.0.2 y
4.0.3 de dicho software.
IBM ha publicado una versión corregida (4.0.4), denominada Fix Pack 4
for IBM WebSphere Application Server Version 4.0. Tanto el parche APAR
como el Fix Pack están disponibles en la siguiente dirección:
http://www.ibm.com/software/webservers/appserv/was/support/
Una vez en esa dirección, hay que buscar “PQ62144” o “Fix Pack 4.0”.
jcanto@hispasec.com
Más información:
IBM WebSphere Can Be Crashed By Remote Users Sending Large HTTP Headers
http://www.securitytracker.com/alerts/2004/Jul/1010797.html
Deja un comentario