Risques
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
Systèmes affectés
IBM WebSphere 7.x.
Résumé
Plusieurs vulnérabilités présentes dans IBM WebSphere permettent à un utilisateur malveillant de contourner la politique de sécurité ou d'exécuter du code arbitraire à distance.
Description
Plusieurs vulnérabilités sont présentes dans IBM WebSphere :
- la première, dans la console d'administration, permet de réaliser de l'injection de code indirecte (XSS) ;
- un correctif intermédiaire positionne des droits d'accès à des fichiers de manière incorrecte, donnant accès en exécution à tout utilisateur ;
- une erreur non précisée permet de voler la session d'un utilisateur ;
- une erreur non précisée est présente dans la définition des signature numériques XML.
Solution
Le correctif 7.0.0.3 remédie à ces vulnérabilités.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité IBM swg24022549 du 26 mars 2009 http://www-01.ibm.com/support/docview.wss?uid=swg24022549
- Référence CVE CVE-2009-0892 https://www.cve.org/CVERecord?id=CVE-2009-0892
- Référence CVE CVE-2009-1173 https://www.cve.org/CVERecord?id=CVE-2009-1173
- Référence CVE CVE-2009-1174 https://www.cve.org/CVERecord?id=CVE-2009-1174
