IBM WebSphere Application Server. Actualiación correge múltiples vulnerabilidades

 IBM ha publicado parches para resolver un total de 13 vulnerabilidades en IBM WebSphere Application Server. La actuañización de le asignó nivel de Importancia: 3 - Media

Recursos afectados

• Las versiones 6.0, 6.1, 7, 8, 8.5 y 8.5.5 de IBM WebSphere Application Server.

Detalle de las vulnerabilidades

1. Revelación de información explotable mediante una URL especialmente manipulada, al mostrar una página de error. Esta vulnerabilidad tiene asociado el identificador CVE-2014-3022.
2. Revelación de información a un atacante remoto debido a un procesamiento incorrecto de peticiones en el proxy o servidores ODR de IBM WebSphere Application Server. Esta vulnerabilidad tiene asociado el identificador CVE-2014-0891.
3. Revelación de información a un atacante remoto causada por un incorrecto procesamiento de respuestas SOAP. Esta vulnerabilidad tiene asociado el identificador CVE-2014-0965.
4. Denegación de servicio a través de Apache Commons FileUpload. Esta vulnerabilidad tiene asignado el identificador CVE-2014-0050.
5. Denegación de servicio explotable de forma remota debido al almacenamiento de cookies en el log de acceso de IBM HTTP Server. Esta vulnerabilidad tiene asignado el identificador CVE-2014-0098.
6. Denegación de servicio explotable de formar remota debida a un consumo excesivo de recursos por un incorrecto procesamiento de determinados mensajes SSL. Esta vulnerabilidad tiene asignado el identificador CVE-2014-0963.
7. Ejecución remota de código explotable de forma remota provocada por un fallo al restringir la configuración de atributos en Apache Struts. Esta vulnerabilidad tiene asignado el identificador CVE-2014-0114.
8. Denegación de servicio explotable de forma remota al utilizar el plugin web configurado para reintentar peticiones POST fallidas. Esta vulnerabilidad tiene asignado el identificador CVE-2014-0859.
9. Denegación de servicio durante la negociación SSL con IBM HTTP Server. Esta vulnerabilidad tiene asignado el identificador CVE-2013-6329.
10. Denegación de servicio explotable de forma remota provocada por un buffer overflow en el módulo mod_dav. Esta vulnerabilidad tiene asignado el identificador CVE-2013-6438.
11. Denegación de servicio explotable de forma remota provocada por un error en el componente GSKit. Esta vulnerabilidad tiene asignado el identificador CVE-2013-6747.
12. También se resuelven dos vulnerabilidades de cross-site scripting, a las que se han asignado los identificadores CVE-2013-6323 y CVE-2013-6738.

Recomendación

·         IBM ha publicado parches que resuelven las vulnerabilidades descritas. Consúltese el aviso original de IBM para más información.  https://www-304.ibm.com/support/docview.wss?uid=swg21676091

Más información

·         Security Bulletin: Potential Security Vulnerabilities fixed in IBM WebSphere Application Server 7.0.0.33 https://www-304.ibm.com/support/docview.wss?uid=swg21676091

Fuente: INTECO