Vulnerabilidades en IBM WebSphere Application Server

IBM ha publicado unaactualización para corregir múltiples vulnerabilidades en IBM WebSphere Application Server que podrían permitir a un atacante remoto obtener información sensible o conseguir privilegios elevados en el sistema.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

El primero de los problemas (con CVE-2014-8890) podría permitir a un atacante remoto obtener privilegios elevados en el sistema si el despliegue del descriptor de las restricciones de seguridad se combina con anotaciones ServletSecurity en un servlet. WebSphere Application Server Full Profile y Liberty Profile podrían permitir a un atacante remoto obtener privilegios elevados en el sistema cuando se utilizan contraseñas OAuth (CVE-2015-1885).

Por otra parte, Apache Batik podría permitir a un atacante remoto obtener información sensible a través de archivos SVG especialmente diseñados (CVE-2015-0250). IBM WebSphere Application Server podría permitir a un atacante remoto obtener acceso no autorizado en el sistema debido a una aplicación con una configuración serveServletsbyClassname incorrecta (CVE-2015-1927).

IBM WebSphere Application Server e IBM WebSphere Virtual Enterprise podrían permitir a un atacante remoto obtener información que identifique el servidor proxy utilizado (CVE-2015-1932). Por último, IBM WebSphere Application Server podría permitir a un atacante remoto falsificar un servlet (CVE-2015-4938).

Se ven afectadas las versiones de IBM WebSphere Application Server 6.1, 7.0, 8.0, 8.5 y 8.5.5.

Ver mas informacion original l respecto en Fuente:

http://unaaldia.hispasec.com/2015/08/vulnerabilidades-en-ibm-websphere.html