Vulnerabilidades en IBM WebSphere Application Server

Publicado el 2 marzo 2015 ¬ 10:06 amh.mscComentarios desactivados en Vulnerabilidades en IBM WebSphere Application Server

IBM ha publicado una actualización para corregir múltiples vulnerabilidades en IBM WebSphere Application Server que podrían permitir la realización ataques de Cross-Site Request Forgery, de Cross-Site Scripting, obtener información sensible o evitar restricciones de seguridad.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de
software de la familia WebSphere de IBM. WAS puede funcionar con
diferentes servidores web y sistemas operativos incluyendo Apache HTTP
Server, Netscape Enterprise Server, Microsoft Internet Information
Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux,
Microsoft, Windows y Solaris.

Problemas corregidos:
* Obtención de información sensible por una vulnerabilidad en cabeceras
HTTP empleadas por Web Applications (CVE-2014-3021).
* Salto de restricciones de seguridad por una creación inadecuada de
cuentas con Virtual Member Manager SPI Admin Task addFileRegistryAccount
(CVE-2014-3070).
* Obtención de información sensible por un fallo al restringir el acceso a
los recursos de la aplicación web (CVE-2014-3083).
* El componente GSKit de IBM HTTP Server puede permitir a un atacante
local obtener información sensible por un error de implementación en
ECDSA (Elliptic curve Digital Signature Algorithm) (CVE-2014-0076).
* Denegación de servicio en WebSphere Application Server en Windows con
Load Balancer para IPv4 Dispatcher (CVE-2014-4764).
* Diversas vulnerabilidades en IBM HTTP Server (CVE-2014-0226,
CVE-2014-0231, CVE-2014-0118 y CVE-2013-5704).
* La consola de administración de IBM WebSphere Application Server es
vulnerable a ataques de cross-site scripting y cross-site request
forgery (CVE-2014-4770 y CVE-2014-4816).
* Cross-site scripting en IBM WebSphere Application Server
(CVE-2014-6167).
* El servicio WebSphere Application Server Communications Enabled
Applications (CEA) puede permitir a un atacante remoto obtener
información sensible, al tratar datos XML (CVE-2014-6166).
* La consola de administración de IBM WebSphere Application Server puede
permitir a un atacante falsear las acciones de la víctima
(CVE-2014-6174).
* SSLv3 se ve afectado por la vulnerabilidad POODLE (CVE-2014-3566).

Se ven afectadas las versiones de IBM WebSphere Application Server 6.1,
7.0, 8.0, 8.5 y 8.5.5.

IBM ha publicado la versión IBM WebSphere Application Server 8.0.0.10
que soluciona estas vulnerabilidades.

Ver informacion original al respecto en Fuente:
http://unaaldia.hispasec.com/2015/02/vulnerabilidades-en-ibm-websphere.html

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Vulnerabilidades, , , , , , , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies