Risque
- Déni de service à distance ;
- contournement de la politique de sécurité.
Systèmes affectés
IBM WebSphere 6.x et 7.x.
Résumé
Une vulnérabilité dans IBM WebSphere permet à un utilisateur malveillant de provoquer un déni de service à distance et une autre, de contourner la politique de sécurité.
Description
Deux vulnérabilités d'IBM WebSphere ont été corrigées :
- (CVE-2011-1355) un vulnérabilité dans la page de déconnexion permet à un utilisateur malveillant de dérouter l'internaute vers un site web arbitraire ;
- (CVE-2011-1928) quand le module mod_autoindex est activé, un utilisateur malveillant peut provoquer un épuisement des ressources processeur.
Solution
Les versions 6.1.0.39 et 7.0.0.19 d'IBM WebSphere remédient à ce défaut. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité IBM swg1PM42436 du 16 juillet 2011 :
http://www-01.ibm.com/support/docview.wss?uid=swg1PM42436
- Bulletin de sécurité IBM ISS 68570 du 18 juillet 2011 :
http://xforce.iss.net/xforce/xfdb/68570
- Référence CVE CVE-2011-1355 :
https://www.cve.org/CVERecord?id=CVE-2011-1355
- Référence CVE CVE-2011-1928 :
https://www.cve.org/CVERecord?id=CVE-2011-1928