Risque

Atteinte à la confidentialité des données.

Systèmes affectés

IBM WebSphere 6.x et 7.x.

Résumé

Une vulnérabilité dans la gestion du protocole SIP par IBM WebSphere permet à un utilisateur malveillant de lire des informations sensibles.

Description

Lorsque les deux conditions suivantes sont réunies :

  • l'utilisateur s'authentifie par mot de passe sans hachage ;
  • la journalisation des transactions SIP est complète (com.ibm.ws.sip.*=all) ,
alors le journal contient des informations sensibles non chiffrées comme le contenu des messages instantanés.

Solution

Les versions 6.1.0.31 et 7.0.0.11 remédient à ces problèmes.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation