Risques

  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

  • IBM HTTP Server 6.1.x.
  • IBM WebSphere Application Server 6.1.x ;

Résumé

Plusieurs vulnérabilités des serveurs IBM HTTP et WebSphere permettent à un utilisateur malveillant de réaliser un déni de service, local ou à distance, ou de réaliser de l'injection de code indirecte.

Description

Plusieurs vulnérabilités affectent les produits IBM WebSphere :

  • une erreur dans la gestion du jeu de caratères utilisé est présente dans le module mod_status . Elle permet à un utilisateur malveillant de réaliser, dans des circonstances particulières, de l'injection de code indirecte ;
  • une erreur de traitement par le module mod_cache des requêtes malformées permet à un utilisateur malveillant de réaliser un déni de service à distance, dans certaines circonstances ;
  • un manque de vérification de la nature des processus fils du serveur web permet à un utilisateur malveillant local de réaliser un déni de service ;
  • une erreur du module mod_proxy permet à un utilisateur malintentionné de provoquer un arrêt inopiné (crash) du serveur, à distance.

Solution

Le correctif APAR PK52702 corrige ces problèmes. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation