Vulnerabilidades en IBM WebSphere Application Server
jueves, 18 de agosto de 2016
IBM ha publicado actualizaciones para corregir dos vulnerabilidades en IBM WebSphere Application Server que podrían obtener información sensible o evitar restricciones de seguridad.
IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.
El primer problema, con CVE-2016-0377, podría permitir a un atacante obtener información sensible debido a la inadecuada configuración de la cookie CSRFtoken. Afecta a las versiones de IBM WebSphere Application Server 7.0, 8.0, 8.5 y 8.5.5. IBM ha publicado el APAR PI56917 para solucionar esta vulnerabilidad.
http://www-01.ibm.com/support/docview.wss?uid=swg24042624
Por otra parte, con CVE-2016-0385, un desbordamiento de búfer que podría permitir evitar restricciones de seguridad y visualizar datos a los que no esté autorizado. El problema solo se produce en entornos con la propiedad HttpSessionIdReuse activa. Afecta a las versiones de WebSphere Application Server 7.0, 8.0, 8.5, 8.5.5, 9.0 y Liberty. IBM ha publicado el APAR PI60026 para corregir este fallo.
http://www-01.ibm.com/support/docview.wss?uid=swg24042636
Más información:
Security Bulletin: Information Disclosure in IBM WebSphere Application Server (CVE-2016-0377)
http://www-01.ibm.com/support/docview.wss?uid=swg21980645
Security Bulletin: Bypass security restrictions in WebSphere Application Server (CVE-2016-0385)
http://www-01.ibm.com/support/docview.wss?uid=swg21982588
Antonio Ropero
Twitter: @aropero
