Objet: Vulnérabilités dans IBM WebSphere Application Server

Résumé

Plusieurs vulnérabilités dans IBM WebSphere Application Server ont été publiées. Certaines permettent à un utilisateur malveillant d'exécuter du code arbitraire à distance.

Description

Plusieurs vulnérabilités dans IBM WebSphere Application Server ont été publiées :

• le composant Security présente un défaut qui permet à un utilisateur malveillant de contourner à distance les restrictions d'accès ;
• un problème dans le composant Web Service permet à un utilisateur local de réaliser un déni de service ;
• dans certaines configurations, lors de l'utilisation de SPNEGO Single Sign-On, un utilisateur malveillant distant peut contourner l'authentification ;
• le composant de migration permet à un utilisateur authentifié distant d'obtenir indûment des informations sensibles ;
• un défaut non précisé du composant System Management/Repository permet à un utilisateur malveillant distant de contourner les restrictions d'accès et d'arrêter un service ;
• sur un système z/OS, le composant System Management/Repository utilise des droits d'accès permissifs, permettant à un utilisateur malveillant d'obtenir des données sensibles ;
• une lecture erronée du paramètre portletServingEnabled permet à un utilisateur malveillant distant de contourner les restrictions d'accès.

Solution

Les versions 7.0.0.5 et 6.1.0.25 corrigent ces vulnérabilités.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).