Risque
- Exécution de code arbitraire ;
- déni de service à distance.
Systèmes affectés
IBM WebSphere Application Server versions 6.0.2.14 (6.0.2 pack 14) et antérieures.Résumé
Une vulnérabilité dans IBM WebSphere Application Server permet à un utilisateur distant mal intentionné de provoquer un déni de service ou d'exécuter du code arbitraire.
Description
IBM WebSphere Application Server est basé sur le serveur Web Apache httpd. Ainsi la vulnérabilité relative au module nommé Rewrite (mod_rewrite) permettant la ré-écriture « à la volée » d'adresses réticulaires ( URL ) décrite dans CERTA-2006-AVI-315 s'applique également à IBM WebSphere Application Server. Elle permet l'exécution de code arbitraire à distance ou la réalisation d'un déni de service.Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité IBM swg24013495 du 02 octobre 2006 :
http://www-1.ibm.com/support/docview.wss?uid=swg24013495
- Avis CERTA-2006-AVI-315 du 01 août 2006 :
http://www.certa.ssi.gouv.fr/site/CERTA-2006-AVI-315/CERTA-2006-AVI-315.html
- Référence CVE CAN-2006-3747 :
https://www.cve.org/CVERecord?id=CAN-2006-3747