jueves, 18 de agosto de 2016

Vulnerabilidades en IBM WebSphere Application Server

IBM ha publicado actualizaciones para corregir dos vulnerabilidades en IBM WebSphere Application Server que podrían obtener información sensible o evitar restricciones de seguridad.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

El primer problema, con CVE-2016-0377, podría permitir a un atacante obtener información sensible debido a la inadecuada configuración de la cookie CSRFtoken. Afecta a las versiones de IBM WebSphere Application Server 7.0, 8.0, 8.5 y 8.5.5. IBM ha publicado el APAR PI56917 para solucionar esta vulnerabilidad.
http://www-01.ibm.com/support/docview.wss?uid=swg24042624

Por otra parte, con CVE-2016-0385, un desbordamiento de búfer que podría permitir evitar restricciones de seguridad y visualizar datos a los que no esté autorizado. El problema solo se produce en entornos con la propiedad HttpSessionIdReuse activa. Afecta a las versiones de WebSphere Application Server 7.0, 8.0, 8.5, 8.5.5, 9.0 y Liberty. IBM ha publicado el APAR PI60026 para corregir este fallo.
http://www-01.ibm.com/support/docview.wss?uid=swg24042636

Más información:

Security Bulletin: Information Disclosure in IBM WebSphere Application Server (CVE-2016-0377)
http://www-01.ibm.com/support/docview.wss?uid=swg21980645

Security Bulletin: Bypass security restrictions in WebSphere Application Server (CVE-2016-0385)
http://www-01.ibm.com/support/docview.wss?uid=swg21982588



Antonio Ropero
antonior@hispasec.com

Twitter: @aropero
Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017