{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<p>IBM WebSphere Application Server 6.x et  7.x.</p>","content":"## Description\n\nPlusieurs vuln\u00e9rabilit\u00e9s dans IBM WebSphere Application Server ont \u00e9t\u00e9\npubli\u00e9es\u00a0:\n\n-   le composant Security pr\u00e9sente un d\u00e9faut qui permet \u00e0 un utilisateur\n    malveillant de contourner \u00e0 distance les restrictions d'acc\u00e8s ;\n-   un probl\u00e8me dans le composant Web Service permet \u00e0 un utilisateur\n    local de r\u00e9aliser un d\u00e9ni de service ;\n-   dans certaines configurations, lors de l'utilisation de SPNEGO\n    Single Sign-On, un utilisateur malveillant distant peut contourner\n    l'authentification ;\n-   le composant de migration permet \u00e0 un utilisateur authentifi\u00e9\n    distant d'obtenir ind\u00fbment des informations sensibles ;\n-   un d\u00e9faut non pr\u00e9cis\u00e9 du composant System Management/Repository\n    permet \u00e0 un utilisateur malveillant distant de contourner les\n    restrictions d'acc\u00e8s et d'arr\u00eater un service ;\n-   sur un syst\u00e8me z/OS, le composant System Management/Repository\n    utilise des droits d'acc\u00e8s permissifs, permettant \u00e0 un utilisateur\n    malveillant d'obtenir des donn\u00e9es sensibles ;\n-   une lecture erron\u00e9e du param\u00e8tre portletServingEnabled permet \u00e0 un\n    utilisateur malveillant distant de contourner les restrictions\n    d'acc\u00e8s.\n\n## Solution\n\nLes versions 7.0.0.5 et 6.1.0.25 corrigent ces vuln\u00e9rabilit\u00e9s.\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2009-2092","url":"https://www.cve.org/CVERecord?id=CVE-2009-2092"},{"name":"CVE-2009-2089","url":"https://www.cve.org/CVERecord?id=CVE-2009-2089"},{"name":"CVE-2009-2090","url":"https://www.cve.org/CVERecord?id=CVE-2009-2090"},{"name":"CVE-2009-2087","url":"https://www.cve.org/CVERecord?id=CVE-2009-2087"},{"name":"CVE-2009-2085","url":"https://www.cve.org/CVERecord?id=CVE-2009-2085"},{"name":"CVE-2009-2088","url":"https://www.cve.org/CVERecord?id=CVE-2009-2088"},{"name":"CVE-2009-2091","url":"https://www.cve.org/CVERecord?id=CVE-2009-2091"}],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 IBM swg27007951 du 05 ao\u00fbt 2009 :","url":"http://www-01.ibm.com/support/docview.wss?uid=swg27007951"},{"title":"Bulletin de s\u00e9curit\u00e9 IBM swg27014463 du 27 juillet 2009 :","url":"http://www-01.ibm.com/support/docview.wss?uid=swg27014463"}],"reference":"CERTA-2009-AVI-341","revisions":[{"description":"version initiale.","revision_date":"2009-08-18T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"}],"summary":"Plusieurs vuln\u00e9rabilit\u00e9s dans IBM WebSphere Application Server ont \u00e9t\u00e9\npubli\u00e9es. Certaines permettent \u00e0 un utilisateur malveillant d'ex\u00e9cuter\ndu code arbitraire \u00e0 distance.\n","title":"Vuln\u00e9rabilit\u00e9s dans IBM WebSphere Application Server","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 IBM swg27014463 du 27 juillet 2009 et swg27007951 du 05 ao\u00fbt 2009","url":null}]}