IBM ha publicado una actualización para corregir múltiples vulnerabilidades en IBM WebSphere Application Server que podrían permitir la realización ataques de Cross-Site Request Forgery, de Cross-Site Scripting, obtener información sensible o evitar restricciones de seguridad.
IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.
Problemas corregidos:
- Obtención de información sensible por una vulnerabilidad en cabeceras HTTP empleadas por Web Applications (CVE-2014-3021).
- Salto de restricciones de seguridad por una creación inadecuada de cuentas con Virtual Member Manager SPI Admin Task addFileRegistryAccount (CVE-2014-3070).
- Obtención de información sensible por un fallo al restringir el acceso a los recursos de la aplicación web (CVE-2014-3083).
- El componente GSKit de IBM HTTP Server puede permitir a un atacante local obtener información sensible por un error de implementación en ECDSA (Elliptic curve Digital Signature Algorithm) (CVE-2014-0076).
- Denegación de servicio en WebSphere Application Server en Windows con Load Balancer para IPv4 Dispatcher (CVE-2014-4764).
- Diversas vulnerabilidades en IBM HTTP Server (CVE-2014-0226, CVE-2014-0231, CVE-2014-0118 y CVE-2013-5704).
- La consola de administración de IBM WebSphere Application Server es vulnerable a ataques de cross-site scripting y cross-site request forgery (CVE-2014-4770 y CVE-2014-4816).
- Cross-site scripting en IBM WebSphere Application Server (CVE-2014-6167).
- El servicio WebSphere Application Server Communications Enabled Applications (CEA) puede permitir a un atacante remoto obtener infromación sensible, al tratar datos XML (CVE-2014-6166).
- La consola de administración de IBM WebSphere Application Server puede permitir a un atacante falsear las acciones de la víctima (CVE-2014-6174).
- SSLv3 se ve afectado por la vulnerabilidad POODLE (CVE-2014-3566).
Se ven afectadas las versiones de IBM WebSphere Application Server 6.1, 7.0, 8.0, 8.5 y 8.5.5.
IBM ha publicado la versión IBM WebSphere Application Server 8.0.0.10 que soluciona estas vulnerabilidades.
Más información:
Security Bulletin: Potential Security Vulnerabilities fixed in IBM WebSphere Application Server 8.0.0.10
Antonio Ropero
Twitter: @aropero
