Informe que describe una vulnerabilidad en IBM WebSphere Application Server (versiones 5.0.x, 5.1.x, 6.0.x, 6.1.x y 7.0.x) y WebSphere Commerce (versiones 6.0.x y 7.0.x), que podría permitir a un atacante conseguir acceso a información sensible.
- IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM.
- Este servidor de aplicaciones puede funcionar con distintas plataformas y servidores web como HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.
Detalle de la vulnerabilidad:
- El problema reside en un algoritmo de cifrado débil, empleado por WS-Security para cifrar los datos intercambiados a través del Web Service (JAX-WS ó JAX-RPC).
- Esto podría permitir a un atacante descubrir los datos cifrados contenidos en las peticiones web.
Recomendaciones:
Las actualizaciones están disponibles desde los sitios de IBM:
- Para IBM WebSphere Application Server:
http://www.ibm.com/support/docview.wss?uid=swg21474220
- Para IBM WebSphere Commerce:
http://www-01.ibm.com/support/docview.wss?uid=swg21496880
Más información en los sitios de IBM:
http://www.ibm.com/support/docview.wss?uid=swg21474220
http://www-01.ibm.com/support/docview.wss?uid=swg21496880
Fuente: Hispasec
