Vulnérabilités dans les produits IBM WebSphere

Gestion du document

Référence	CERTA-2012-AVI-431
Titre	Vulnérabilités dans les produits IBM WebSphere
Date de la première version	14 août 2012
Date de la dernière version	14 août 2012
Source(s)	Bulletins de sécurité IBM du 08 août 2012
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Contournement de la politique de sécurité ;
injection de requêtes illégitime par rebond.

Systèmes affectés

IBM WebSphere MQ File Transfer Edition Web Gateway versions 7.0.4 et antérieures ;
IBM WebSphere MQ Managed File Transfer version 7.5.

Résumé

Des vulnérabilités ont été corrigées dans les produits IBM WebSphere. La première concerne un manque de contrôle d'accès dans IBM WebSphere MQ File Transfer Edition permettant à un utilisateur authentifié d'accéder aux transferts d'autres utilisateurs. La seconde concerne également le produit IBM WebSphere MQ Managed File Transfer et permet à un utilisateur malintentionné d'effectuer une injection de requêtes illégitime par rebond (Cross Site Request Forgery).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité IBM swg21607481 du 08 août 2012 :

http://www-01.ibm.com/support/docview.wss?uid=swg21607481

Bulletin de sécurité IBM swg21607482 du 08 août 2012 :

http://www-01.ibm.com/support/docview.wss?uid=swg21607482

Référence CVE CVE-2012-2206 :

https://www.cve.org/CVERecord?id=CVE-2012-2206

Référence CVE CVE-2012-3294 :

https://www.cve.org/CVERecord?id=CVE-2012-3294

Avis du CERT-FR

Objet: Vulnérabilités dans les produits IBM WebSphere