5.1.1.4 de IBM WebSphere que puede ser explotada por usuarios locales
maliciosos para acceder a información sensible.
El problema se debe a un error en el que se pasa información sensible
como parte de URLs codificadas, lo que hace que quede almacenada en
archivos de trazas cuando el el trazador del manager de sesiones se
activa. Esto puede ser explotado por usuarios locales maliciosos para
acceder a dicha información.
La dirección para descargar el parche de actualización que solventa
este problema es la siguiente:
ftp://ftp.software.ibm.com/software/websphere/appserv/support/fixes/PK11017/PK11017_5113.jar
La compañía también informa de que este parche será incluido en los
acumulativos 5.02.15, 5.1.1.8 y el fixpack 6.0.2.5.
Julio Canto
jcanto@hispasec.com
jcanto@hispasec.com
Más información:
PK11017; 5.1.1.4: sensitive info is showing in session trace via session context
http://www-1.ibm.com/support/docview.wss?uid=swg24010781
IBM WebSphere Session Manager Tracing Information Disclosure Issue
http://www.frsirt.com/english/advisories/2005/2291
No hay comentarios:
Publicar un comentario