viernes, 31 de agosto de 2012

Actualización de IBM WebSphere Application Server permitía el acceso como administrador


IBMha publicado una actualización para una vulnerabilidad en WebSphere Application Server, que fue introducida con un parche anterior y que puede permitir el acceso a la aplicación como administrador.

La vulnerabilidad (con CVE-2012-3325) reside en un error al validar las credenciales de usuario, y podría ser aprovechada por un atacante para conseguir acceso administrativo no autorizado a la aplicación.

La vulnerabilidad se introdujo con el Interim Fix para PM44303 (o cualquier Fix Pack que contuviera PM44303), fechada en octubre de 2011. Esta actualización estaba destinada a corregir un problema en el tratamiento de cookies en el proceso de autenticación.

La vulnerabilidad se presenta en las versiones 6.1.0.43, 7.0.0.21 hasta 7.0.0.23, 8.0.0.2 hasta 8.0.0.4, y 8.5.0.0 (solo Full Profile). El problema no se presenta en las versions 6.0.2, 6.1.0.0 hasta 6.1.0.41, 7.0.0.0 hasta 7.0.0.19, 8.0.0.0 hasta 8.0.0.1 y 8.5.0.0 (solo Liberty Profile).

IBM recomienda aplicar el Interim Fix PM71296 o un Fix Pack que lo contenga
http://www-01.ibm.com/support/docview.wss?uid=swg24033359

Más información:

Potential security exposure with IBM WebSphere Application Server after installing PM44303
www.ibm.com/support/docview.wss?uid=swg21609067

PM44303: LTPA COOKIE NOT RETURNED ON CLIENT REQUEST THAT SUCCESSFULLY AUTHENTICATES, BUT FAILS AUTHORIZATION TO A WEB REQUEST.
http://www-01.ibm.com/support/docview.wss?uid=swg1PM44303




Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017