Se han anunciado múltiples vulnerabilidades en IBM WebSphere Application Server (versiones 6.1, 7, 8 y 8.5) que podrían permitir a un atacante remoto obtener información sensible, realizar ataques de cross-site scripting o denegaciones de servicio.
IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, z/OS, i5/OS, Microsoft Windows y Solaris.
Existen diversas vulnerabilidades (CVE-2013-2967, CVE-2013-4004, CVE-2013-4005) de cross-site scripting causadas por un error de validación de entradas cuando se procesan los datos introducidos por el usuario en la Consola de Administración. Esto podría ser explotado por un atacante remoto para ejecutar código arbitrario HTML y javascrip en el contexto de la sesión del navegador de un usuario que visita un sitio afectado. Un problema similar (CVE-2013-3029) permite la realización de ataques de cross-site request forgery.
Un atacante local podría obtener información sensible debido a un uso incorrecto de la caché por la consola de administración (CVE-2013-2976). Se corrige también el fallo del protocolo TLS del componente GSKIT del servidor IBM http (CVE-2013-0169), que permite obtener el texto plano descifrado estudiando los tiempos de respuesta del servidor a los mensajes generados por el atacante. Podría servir, por ejemplo, para obtener el texto plano de una cookie de autenticación cifrada, también conocido como «Lucky Thirteen«.
WebSphere Application Server configurado para el uso de OAuth puede permitir a un atacante remoto obtener las credenciales de otro usuario (CVE-2013-059). El modulo mod_rewrite de IBM HTTP Server no filtra adecuadamente las secuencias de escape de los logs (CVE-2013-1862), mientras que un problema (CVE-2013-1896) en el módulo mod_dav puede permitir la construcción de ataques de denegación de servicio. También se producen condiciones de denegación de servicio con el uso de Apache Ant para comprimir archivos (CVE-2012-2098).
Para WebSphere Application Server 8.5 a8.5.0.2 se recomienda instalar el Fix Pack 8.5.5 (8.5.5.0) o posterior.
Para WebSphere Application Server 8.5 a8.5.5.0 se recomienda instalar el Fix Pack 8.5.5.1 (8.5.5.1) o posterior (disponible el 28 de octubre de 2013).
Para WebSphere Application Server 8.0 a 8.0.0.6 se recomienda instalar el Fix Pack 7 (8.0.0.7) o posterior.
Para WebSphere Application Server 7.0 a 7.0.0.27 se recomienda instalar el Fix Pack 29 (7.0.0.29) o posterior.
Para WebSphere Application Server 6.1.0 a 6.1.0.45 se recomienda instalar el Fix Pack 47 (6.1.0.47) o posterior (disponible a mediados de septiembre de 2013).
Más información:
Security Bulletin: Potential Security Vulnerabilities fixed in IBM WebSphere Application Server 8.0.0.7
Antonio Ropero
Twitter: @aropero
En la lista de sistemas operativos disponibles para WAS falta z/OS, el Sistema Operativo de IBM para HOSTs