S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 04 octobre 2006
N° CERTA-2006-AVI-425
Affaire suivie par: CERT-FR
le 04 octobre 2006

Avis du CERT-FR

Objet: Vulnérabilité dans IBM WebSphere Application Server

Gestion du document

Référence CERTA-2006-AVI-425
Titre Vulnérabilité dans IBM WebSphere Application Server
Date de la première version 04 octobre 2006
Date de la dernière version 04 octobre 2006
Source(s) Bulletin de sécurité IBM du 02 octobre 2006
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire ;
  • déni de service à distance.

Systèmes affectés

IBM WebSphere Application Server versions 6.0.2.14 (6.0.2 pack 14) et antérieures.

Résumé

Une vulnérabilité dans IBM WebSphere Application Server permet à un utilisateur distant mal intentionné de provoquer un déni de service ou d'exécuter du code arbitraire.

Description

IBM WebSphere Application Server est basé sur le serveur Web Apache httpd. Ainsi la vulnérabilité relative au module nommé Rewrite (mod_rewrite) permettant la ré-écriture « à la volée » d'adresses réticulaires ( URL ) décrite dans CERTA-2006-AVI-315 s'applique également à IBM WebSphere Application Server. Elle permet l'exécution de code arbitraire à distance ou la réalisation d'un déni de service.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 04 octobre 2006
    version initiale.