Avis du CERT-FR

Objet: Vulnérabilité de IBM Websphere Application Server

Gestion du document

Référence	CERTA-2005-AVI-076
Titre	Vulnérabilité de IBM Websphere Application Server
Date de la première version	15 février 2005
Date de la dernière version	15 février 2005
Source(s)	Bulletins de sécurité IBM PQ99537 et PK00091
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Accès non autorisé à des informations ;
contournement de la politique de sécurité.

Systèmes affectés

IBM Websphere Application Server versions 5.0, 5.1 et 6.0.

Description

IBM Websphere Application Server est un serveur d'applications certifié J2EE.
Via une URL habilement constituée, un utilisateur mal intentionné peut accéder au code source des pages JSP. Ceci peut conduire à des divulgations d'information et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Site Internet de IBM Websphere Application Server :

http://www-306.ibm.com/software/webservers/appserv/was/

Bulletin de sécurité IBM PQ99537 (concerne les versions 5.0 et 5.1) :
```
http://www-1.ibm.com/support/docview.wss?uid=swg24008814
```
Bulletin de sécurité IBM PK00091 (concerne la version 6.0) :
```
http://www-1.ibm.com/support/docview.wss?uid=swg24008815
```

Gestion détaillée du document

le 15 février 2005: version initiale.