Múltiples vulnerabilidades corregidas en IBM WebSphere Application Server

Fecha de publicación:

26/06/2014

Importancia:

3 - Media

Recursos afectados:

Las versiones 6.0, 6.1, 7, 8, 8.5 y 8.5.5 de IBM WebSphere Application Server.

Descripción:

IBM ha publicado parches para resolver un total de 13 vulnerabilidades en IBM WebSphere Application Server.

Solución:

IBM ha publicado parches que resuelven las vulnerabilidades descritas. Consúltese el aviso original de IBM para más información.

Detalle:

Las vulnerabilidades corregidas son las siguientes:

Revelación de información explotable mediante una URL especialmente manipulada, al mostrar una página de error. Esta vulnerabilidad tiene asociado el identificador CVE-2014-3022.

Revelación de información a un atacante remoto debido a un procesamiento incorrecto de peticiones en el proxy o servidores ODR de IBM WebSphere Application Server. Esta vulnerabilidad tiene asociado el identificador CVE-2014-0891.

Revelación de información a un atacante remoto causada por un incorrecto procesamiento de respuestas SOAP. Esta vulnerabilidad tiene asociado el identificador CVE-2014-0965.

Denegación de servicio a través de Apache Commons FileUpload. Esta vulnerabilidad tiene asignado el identificador CVE-2014-0050.

Denegación de servicio explotable de forma remota debido al almacenamiento de cookies en el log de acceso de IBM HTTP Server. Esta vulnerabilidad tiene asignado el identificador CVE-2014-0098.

Denegación de servicio explotable de formar remota debida a un consumo excesivo de recursos por un incorrecto procesamiento de determinados mensajes SSL. Esta vulnerabilidad tiene asignado el identificador CVE-2014-0963.

Ejecución remota de código explotable de forma remota provocada por un fallo al restringir la configuración de atributos en Apache Struts. Esta vulnerabilidad tiene asignado el identificador CVE-2014-0114.

Denegación de servicio explotable de forma remota al utilizar el plugin web configurado para reintentar peticiones POST fallidas. Esta vulnerabilidad tiene asignado el identificador CVE-2014-0859.

Denegación de servicio durante la negociación SSL con IBM HTTP Server. Esta vulnerabilidad tiene asignado el identificador CVE-2013-6329.

Denegación de servicio explotable de forma remota provocada por un buffer overflow en el módulo mod_dav. Esta vulnerabilidad tiene asignado el identificador CVE-2013-6438.

Denegación de servicio explotable de forma remota provocada por un error en el componente GSKit. Esta vulnerabilidad tiene asignado el identificador CVE-2013-6747.

También se resuelven dos vulnerabilidades de cross-site scripting, a las que se han asignado los identificadores CVE-2013-6323 y CVE-2013-6738.

Referencias:

Security Bulletin: Potential Security Vulnerabilities fixed in IBM WebSphere Application Server 7.0.0.33

Etiquetas:

Vulnerabilidad

IBM

Accesos corporativos

Múltiples vulnerabilidades corregidas en IBM WebSphere Application Server

Ejecución remota de código en DrayTek Vigor Routers

Múltiples vulnerabilidades en routers Cisco Small Business

Múltiples vulnerabilidades en productos VMware

Múltiples vulnerabilidades en routers Arris

Omisión de autenticación en Dell CloudLink