IBM ha publicado una actualización para corregir dos
vulnerabilidades en IBM WebSphere Application Server que podrían permitir la
realización ataques de Cross-Site Request Forgery y de Cross-Site Scripting.
IBM WebSphere Application
Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere
de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos
incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet
Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux,
Microsoft, Windows y Solaris.
Detalle e impacto de las vulnerabilidades corregidas
- La consola de administración de IBM WebSphere Application Server es vulnerable a ataques de Cross-Site Request Forgery (CSRF) y de Cross-Site Scripting. Las vulnerabilidades tienen asignados los CVE CVE-2014-4816 y CVE-2014-4770 respectivamente. Ambos problemas residen en una validación inadecuada de las entradas sobre la interfaz de administración del servidor.
- Los ataques podrían emplearse por atacantes remotos para realizar acciones no autorizadas sobre la consola de administración, acceder a las cookies (incluyendo las de autenticación) o a información recientemente enviada.
- Se ven afectadas las versiones de IBM WebSphere Application Server 6.0.2, 6.1, 7.0, 8.0, 8.5 y 8.5.5.
- IBM ha publicado el Interim Fix PI23055 para solucionar estas vulnerabilidades, disponible desde http://www-01.ibm.com/support/docview.wss?uid=swg24038403
Más
información
- Security Bulletin: Potential Security exposures
with WebSphere Application Server (CVE-2014-4770 and CVE-2014-4816) http://www-01.ibm.com/support/docview.wss?uid=swg21682767