Vulnérabilités dans IBM WebSphere

Gestion du document

Référence	CERTA-2011-AVI-402
Titre	Vulnérabilités dans IBM WebSphere
Date de la première version	21 juillet 2011
Date de la dernière version	21 juillet 2011
Source(s)	Bulletin de sécurité IBM swg1PM42436 du 16 juillet 2011
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Déni de service à distance ;
contournement de la politique de sécurité.

Systèmes affectés

IBM WebSphere 6.x et 7.x.

Résumé

Une vulnérabilité dans IBM WebSphere permet à un utilisateur malveillant de provoquer un déni de service à distance et une autre, de contourner la politique de sécurité.

Description

Deux vulnérabilités d'IBM WebSphere ont été corrigées :

(CVE-2011-1355) un vulnérabilité dans la page de déconnexion permet à un utilisateur malveillant de dérouter l'internaute vers un site web arbitraire ;
(CVE-2011-1928) quand le module mod_autoindex est activé, un utilisateur malveillant peut provoquer un épuisement des ressources processeur.

Solution

Les versions 6.1.0.39 et 7.0.0.19 d'IBM WebSphere remédient à ce défaut. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité IBM swg1PM42436 du 16 juillet 2011 :

http://www-01.ibm.com/support/docview.wss?uid=swg1PM42436

Bulletin de sécurité IBM ISS 68570 du 18 juillet 2011 :
```
http://xforce.iss.net/xforce/xfdb/68570
```

Référence CVE CVE-2011-1355 :

https://www.cve.org/CVERecord?id=CVE-2011-1355

Référence CVE CVE-2011-1928 :

https://www.cve.org/CVERecord?id=CVE-2011-1928

Avis du CERT-FR

Objet: Vulnérabilités dans IBM WebSphere