Múltiples vulnerabilidades corregidas en IBM WebSphere Application Server

Fecha de publicación:

26/06/2014

Importancia:

3 - Media

Recursos afectados:

Las versiones 6.0, 6.1, 7, 8, 8.5 y 8.5.5 de IBM WebSphere Application Server.

Descripción:

IBM ha publicado parches para resolver un total de 13 vulnerabilidades en IBM WebSphere Application Server.

Solución:

IBM ha publicado parches que resuelven las vulnerabilidades descritas. Consúltese el aviso original de IBM para más información.

Detalle:

Las vulnerabilidades corregidas son las siguientes:

Revelación de información explotable mediante una URL especialmente manipulada, al mostrar una página de error. Esta vulnerabilidad tiene asociado el identificador CVE-2014-3022.

Revelación de información a un atacante remoto debido a un procesamiento incorrecto de peticiones en el proxy o servidores ODR de IBM WebSphere Application Server. Esta vulnerabilidad tiene asociado el identificador CVE-2014-0891.

Revelación de información a un atacante remoto causada por un incorrecto procesamiento de respuestas SOAP. Esta vulnerabilidad tiene asociado el identificador CVE-2014-0965.

Denegación de servicio a través de Apache Commons FileUpload. Esta vulnerabilidad tiene asignado el identificador CVE-2014-0050.

Denegación de servicio explotable de forma remota debido al almacenamiento de cookies en el log de acceso de IBM HTTP Server. Esta vulnerabilidad tiene asignado el identificador CVE-2014-0098.

Denegación de servicio explotable de formar remota debida a un consumo excesivo de recursos por un incorrecto procesamiento de determinados mensajes SSL. Esta vulnerabilidad tiene asignado el identificador CVE-2014-0963.

Ejecución remota de código explotable de forma remota provocada por un fallo al restringir la configuración de atributos en Apache Struts. Esta vulnerabilidad tiene asignado el identificador CVE-2014-0114.

Denegación de servicio explotable de forma remota al utilizar el plugin web configurado para reintentar peticiones POST fallidas. Esta vulnerabilidad tiene asignado el identificador CVE-2014-0859.

Denegación de servicio durante la negociación SSL con IBM HTTP Server. Esta vulnerabilidad tiene asignado el identificador CVE-2013-6329.

Denegación de servicio explotable de forma remota provocada por un buffer overflow en el módulo mod_dav. Esta vulnerabilidad tiene asignado el identificador CVE-2013-6438.

Denegación de servicio explotable de forma remota provocada por un error en el componente GSKit. Esta vulnerabilidad tiene asignado el identificador CVE-2013-6747.

También se resuelven dos vulnerabilidades de cross-site scripting, a las que se han asignado los identificadores CVE-2013-6323 y CVE-2013-6738.

Referencias:

Security Bulletin: Potential Security Vulnerabilities fixed in IBM WebSphere Application Server 7.0.0.33

Etiquetas:

Vulnerabilidad

IBM

Accesos corporativos

Múltiples vulnerabilidades corregidas en IBM WebSphere Application Server

Múltiples vulnerabilidades en productos VMware

Exposición de información en BIG-IP ASM de F5

Múltiples vulnerabilidades en productos TIBCO

Múltiples vulnerabilidades en productos VMware

Múltiples vulnerabilidades en Moodle