Risque
- Contournement de la politique de sécurité ;
- atteinte à l'intégrité des données.
Systèmes affectés
IBM Websphere Application Server Community Edition versions antérieures à la 2.1.1.4.
Résumé
Plusieurs vulnérabilités dans IBM Websphere Application Server Community Edition permettent à une personne malintentionnée de porter atteinte à l'intégrité des données ou de contourner la politique de sécurité.
Description
De multiples vulnérabilités dans la version de Tomcat embarquée dans IBM Websphere Application Server Community Edition ont été découvertes :
- des fichiers peuvent être arbitrairement effacés ou altérés ;
- le mot de passe par défaut n'est pas suffisament sûr ;
- une installation partielle vulnérable est mise en place après l'echec du processus d'installation.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Liste des changements apportés à IBM Websphere Application Server Community Edition version 2.1.1.4 :
http://publib.boulder.ibm.com/wasce/changes/2114/CHANGES.txt
- Référence CVE CVE-2009-2693 :
https://www.cve.org/CVERecord?id=CVE-2009-2693
- Référence CVE CVE-2009-2901 :
https://www.cve.org/CVERecord?id=CVE-2009-2901
- Référence CVE CVE-2009-2902 :
https://www.cve.org/CVERecord?id=CVE-2009-2902
- Référence CVE CVE-2009-3548 :
https://www.cve.org/CVERecord?id=CVE-2009-3548