Risques
- Déni de service à distance
- Exécution de code arbitraire
Systèmes affectés
IBM WebSphere Application Server versions 6.0.2.14 (6.0.2 pack 14) et antérieures.
Résumé
Une vulnérabilité dans IBM WebSphere Application Server permet à un utilisateur distant mal intentionné de provoquer un déni de service ou d'exécuter du code arbitraire.
Description
IBM WebSphere Application Server est basé sur le serveur Web Apache httpd. Ainsi la vulnérabilité relative au module nommé Rewrite (mod_rewrite) permettant la ré-écriture « à la volée » d'adresses réticulaires ( URL ) décrite dans CERTA-2006-AVI-315 s'applique également à IBM WebSphere Application Server. Elle permet l'exécution de code arbitraire à distance ou la réalisation d'un déni de service.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Avis CERTA-2006-AVI-315 du 01 août 2006 : http://www.certa.ssi.gouv.fr/site/CERTA-2006-AVI-315/CERTA-2006-AVI-315.html
- Bulletin de sécurité IBM swg24013495 du 02 octobre 2006 : http://www-1.ibm.com/support/docview.wss?uid=swg24013495