Risques
- Atteinte à la confidentialité des données
- Déni de service à distance
- Injection de code indirecte à distance
Systèmes affectés
IBM WebSphere 7.0.x, 6.1.x et 6.0.x.
Résumé
Plusieurs vulnérabilités présentes dans IBM WebSphere permettent à un utilisateur malveillant d'accéder à des données, de provoquer un déni de service à distance ou de réaliser de l'injection de code indirecte.
Description
Plusieurs vulnérabilités affectant IBM WebSphere ont été publiées :
- (CVE-2010-0768) dans la console d'administration, un manque de vérification des données entrées est exploitable par un utilisateur malveillant pour réaliser de l'injection de code indirecte ;
- (CVE-2010-0769) un défaut dans WebSphere Application Server permet à un utilisateur distant authentifié de lire des mots de passe non chiffrés ;
- (CVE-2010-0770) une erreur dans le traitement des sessions SSL avec un client ORB (Object Request Broker) permet à un utilisateur distant authentifié de provoquer un déni de service par attente infinie du serveur.
Solution
Les versions 6.0.2.41, 6.1.0.31 et 7.0.0.9 d'IBM WebSphere remédient à ces vulnérabilités. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité IBM swg27004980 du 29 mars 2010 http://www-01.ibm.com/support/docview.wss?uid=swg27004980
- Référence CVE CVE-2010-0768 https://www.cve.org/CVERecord?id=CVE-2010-0768
- Référence CVE CVE-2010-0769 https://www.cve.org/CVERecord?id=CVE-2010-0769
- Référence CVE CVE-2010-0770 https://www.cve.org/CVERecord?id=CVE-2010-0770
