Vulnerabilidades en IBM WebSphere Application Server
IBM ha publicado una actualización para corregir múltiples vulnerabilidades en IBM WebSphere Application Server que podrían permitir la realización ataques de Cross-Site Request Forgery, de Cross-Site Scripting, obtener información sensible o evitar restricciones de seguridad.
IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de
software de la familia WebSphere de IBM. WAS puede funcionar con
diferentes servidores web y sistemas operativos incluyendo Apache HTTP
Server, Netscape Enterprise Server, Microsoft Internet Information
Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux,
Microsoft, Windows y Solaris.
Problemas corregidos:
* Obtención de información sensible por una vulnerabilidad en cabeceras
HTTP empleadas por Web Applications (CVE-2014-3021).
* Salto de restricciones de seguridad por una creación inadecuada de
cuentas con Virtual Member Manager SPI Admin Task addFileRegistryAccount
(CVE-2014-3070).
* Obtención de información sensible por un fallo al restringir el acceso a
los recursos de la aplicación web (CVE-2014-3083).
* El componente GSKit de IBM HTTP Server puede permitir a un atacante
local obtener información sensible por un error de implementación en
ECDSA (Elliptic curve Digital Signature Algorithm) (CVE-2014-0076).
* Denegación de servicio en WebSphere Application Server en Windows con
Load Balancer para IPv4 Dispatcher (CVE-2014-4764).
* Diversas vulnerabilidades en IBM HTTP Server (CVE-2014-0226,
CVE-2014-0231, CVE-2014-0118 y CVE-2013-5704).
* La consola de administración de IBM WebSphere Application Server es
vulnerable a ataques de cross-site scripting y cross-site request
forgery (CVE-2014-4770 y CVE-2014-4816).
* Cross-site scripting en IBM WebSphere Application Server
(CVE-2014-6167).
* El servicio WebSphere Application Server Communications Enabled
Applications (CEA) puede permitir a un atacante remoto obtener
información sensible, al tratar datos XML (CVE-2014-6166).
* La consola de administración de IBM WebSphere Application Server puede
permitir a un atacante falsear las acciones de la víctima
(CVE-2014-6174).
* SSLv3 se ve afectado por la vulnerabilidad POODLE (CVE-2014-3566).
Se ven afectadas las versiones de IBM WebSphere Application Server 6.1,
7.0, 8.0, 8.5 y 8.5.5.
IBM ha publicado la versión IBM WebSphere Application Server 8.0.0.10
que soluciona estas vulnerabilidades.
Ver informacion original al respecto en Fuente:
http://unaaldia.hispasec.com/2015/02/vulnerabilidades-en-ibm-websphere.html
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.