IBM WebSphere Application Server
(WAS) es el servidor de aplicaciones de software de la familia WebSphere de
IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos
incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet
Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft,
Windows y Solaris.
Existen
tres vulnerabilidades
de fuga de información en WebSphere Application Server por páginas de error al
cargar URLs específicamente construidas (
CVE-2014-3022),
por el tratamiento inadecuado de respuestas SOAP (
CVE-2014-0965)
y por fallos al restringir el acceso a recursos localizados dentro de la
aplicación web (
CVE-2014-3083).
Por otra parte el servidor de
aplicaciones de IBM también se ve afectado por
un problema de evasión de
restricciones de seguridad (
CVE-2014-3070)
por una creación de cuenta inadecuada con el Virtual Member Manager SPI Admin
Task addFileRegistryAccount. Y
una denegación de servicio en WebSphere
Application
Server en Windows con Load Balancer para IPv4 Dispatcher (
CVE-2014-4764).
Otras
dos vulnerabilidades
afectan a IBM HTTP Server, una denegación de servicio al registrar determinadas
cookies en el registro (
CVE-2014-0098) y otro problema en el tratamiento de
determinados mensajes SSL que podrían provocar un incremento del consumo de CPU
(
CVE-2014-0963).
Dada la diversidad de versiones y
productos afectados se recomienda consultar el boletín de IBM en:
Más información:
Security Bulletin: Potential Security
Vulnerabilities fixed in IBM WebSphere Application Server 8.5.5.3
Antonio Ropero
