Risque

  • Déni de service à distance ;
  • atteinte à la confidentialité des données ;
  • contournement de la politique de sécurité ;
  • injection de requêtes illégitime par rebond.

Systèmes affectés

IBM WebSphere 6.x et 7.x.

Résumé

Plusieurs vulnérabilités ont été corrigées dans IBM WebSphere. Elles permettent diverses atteintes à la disponibilité, à l'intégrité et à la confidentialité.

Description

Plusieurs vulnérabilités ont été corrigées dans IBM WebSphere :

  • lors de la déconnexion d'un utilisateur, celui-ci peut être dérouté vers une page non légitime, permettant par exemple le filoutage ;
  • un problème dans la bibliothèque de programmes APR (Apache Portable Runtime) permet à un utilisateur malveillant d'épuiser les ressources processeur à distance ;
  • un utilisateur local peut obtenir des informations sensibles au moyen d'une requête spécialement construite à destination de la console d'administration ;
  • la vérification de validité des certificats de clefs publiques est incorrecte ;
  • la console d'administration permet l'injection de requêtes par rebond (CRSF) ;
  • un utilisateur distant peut, sans autorisation, parcourir l'arborescence du système de fichiers au moyen d'un adresse (URI) particulière ;
  • l'encapsulation de signatures XML permet de contourner l'authentification.

Solution

Les versions IBM WebSphere 6.1.0.39 et 7.0.0.19 résolvent ces problèmes.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation