IBM ha
publicado una actualización para corregir dos vulnerabilidades en IBM WebSphere
Application Server que podrían permitir la realización ataques de Cross-Site Request Forgery y de Cross-Site Scripting.
IBM WebSphere Application Server
(WAS) es el servidor de aplicaciones de software de la familia WebSphere de
IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos
incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet
Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft,
Windows y Solaris.
La consola de administración de
IBM WebSphere Application
Server es
vulnerable
a ataques de Cross-Site Request Forgery (CSRF) y de Cross-Site Scripting. Las
vulnerabilidades tienen asignados los CVE
CVE-2014-4816
y
CVE-2014-4770
respectivamente. Ambos problemas residen en una validación inadecuada de las entradas
sobre la interfaz de administración del servidor.
Los ataques podrían emplearse por
atacantes remotos para realizar acciones no autorizadas sobre la consola de
administración, acceder a las cookies (incluyendo las de autenticación) o a
información recientemente enviada.
Se ven afectadas las versiones de
IBM WebSphere Application Server 6.0.2, 6.1, 7.0, 8.0, 8.5 y 8.5.5.
IBM ha publicado el Interim Fix
PI23055
para solucionar estas
vulnerabilidades, disponible desde:
Se debe actualizar al último Fix Pack
disponible y luego aplicar esta actualización.
Más información:
Security Bulletin: Potential Security exposures
with WebSphere Application Server (CVE-2014-4770 and CVE-2014-4816)
Antonio Ropero