IBM ha publicado
parches para resolver un total de 13 vulnerabilidades en IBM WebSphere
Application Server. La actuañización de le asignó nivel de Importancia: 3 -
Media
Recursos
afectados
- Las
versiones 6.0, 6.1, 7, 8, 8.5 y 8.5.5 de IBM WebSphere Application Server.
Detalle
de las vulnerabilidades
- Revelación de información
explotable mediante una URL especialmente manipulada, al mostrar una
página de error. Esta vulnerabilidad tiene asociado el identificador
CVE-2014-3022.
- Revelación de información a un
atacante remoto debido a un procesamiento incorrecto de peticiones en el
proxy o servidores ODR de IBM WebSphere Application Server. Esta
vulnerabilidad tiene asociado el identificador CVE-2014-0891.
- Revelación de información a un
atacante remoto causada por un incorrecto procesamiento de respuestas
SOAP. Esta vulnerabilidad tiene asociado el identificador CVE-2014-0965.
- Denegación de servicio a través
de Apache Commons FileUpload. Esta vulnerabilidad tiene asignado el
identificador CVE-2014-0050.
- Denegación de servicio
explotable de forma remota debido al almacenamiento de cookies en el log
de acceso de IBM HTTP Server. Esta vulnerabilidad tiene asignado el
identificador CVE-2014-0098.
- Denegación de servicio
explotable de formar remota debida a un consumo excesivo de recursos por
un incorrecto procesamiento de determinados mensajes SSL. Esta
vulnerabilidad tiene asignado el identificador CVE-2014-0963.
- Ejecución remota de código
explotable de forma remota provocada por un fallo al restringir la
configuración de atributos en Apache Struts. Esta vulnerabilidad tiene
asignado el identificador CVE-2014-0114.
- Denegación de servicio
explotable de forma remota al utilizar el plugin web configurado para
reintentar peticiones POST fallidas. Esta vulnerabilidad tiene asignado el
identificador CVE-2014-0859.
- Denegación de servicio durante
la negociación SSL con IBM HTTP Server. Esta vulnerabilidad tiene asignado
el identificador CVE-2013-6329.
- Denegación de servicio
explotable de forma remota provocada por un buffer overflow en el módulo
mod_dav. Esta vulnerabilidad tiene asignado el identificador
CVE-2013-6438.
- Denegación de servicio
explotable de forma remota provocada por un error en el componente GSKit.
Esta vulnerabilidad tiene asignado el identificador CVE-2013-6747.
- También se resuelven dos
vulnerabilidades de cross-site scripting, a las que se han asignado los
identificadores CVE-2013-6323 y CVE-2013-6738.
Recomendación
·
IBM
ha publicado parches que resuelven las vulnerabilidades descritas. Consúltese
el aviso original de IBM para más información.
https://www-304.ibm.com/support/docview.wss?uid=swg21676091
Más información
·
Security Bulletin: Potential Security Vulnerabilities
fixed in IBM WebSphere Application Server 7.0.0.33 https://www-304.ibm.com/support/docview.wss?uid=swg21676091
Fuente:
INTECO