S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 10 juin 2010
N° CERTA-2010-AVI-254
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans IBM WebSphere

Gestion du document

Référence CERTA-2010-AVI-254
Titre Vulnérabilité dans IBM WebSphere
Date de la première version10 juin 2010
Date de la dernière version10 juin 2010
Source(s) Bulletin de sécurité IBM swg1PM08892 du 03 juin 2010
Bulletin de sécurité IBM swg1PM12247 du 08 juin 2010

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Atteinte à la confidentialité des données

Systèmes affectés

IBM WebSphere 6.x et 7.x.

Résumé

Une vulnérabilité dans la gestion du protocole SIP par IBM WebSphere permet à un utilisateur malveillant de lire des informations sensibles.

Description

Lorsque les deux conditions suivantes sont réunies :

  • l'utilisateur s'authentifie par mot de passe sans hachage ;
  • la journalisation des transactions SIP est complète (com.ibm.ws.sip.*=all) ,

alors le journal contient des informations sensibles non chiffrées comme le contenu des messages instantanés.

Solution

Les versions 6.1.0.31 et 7.0.0.11 remédient à ces problèmes.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 10 juin 2010
    version initiale.