{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<p>IBM WebSphere 6.x et 7.x.</p>","content":"## Description\n\nPlusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 corrig\u00e9es dans IBM WebSphere\u00a0:\n\n-   lors de la d\u00e9connexion d'un utilisateur, celui-ci peut \u00eatre d\u00e9rout\u00e9\n    vers une page non l\u00e9gitime, permettant par exemple le filoutage\u00a0;\n-   un probl\u00e8me dans la biblioth\u00e8que de programmes APR (Apache Portable\n    Runtime) permet \u00e0 un utilisateur malveillant d'\u00e9puiser les\n    ressources processeur \u00e0 distance\u00a0;\n-   un utilisateur local peut obtenir des informations sensibles au\n    moyen d'une requ\u00eate sp\u00e9cialement construite \u00e0 destination de la\n    console d'administration\u00a0;\n-   la v\u00e9rification de validit\u00e9 des certificats de clefs publiques est\n    incorrecte\u00a0;\n-   la console d'administration permet l'injection de requ\u00eates par\n    rebond (CRSF)\u00a0;\n-   un utilisateur distant peut, sans autorisation, parcourir\n    l'arborescence du syst\u00e8me de fichiers au moyen d'un adresse (URI)\n    particuli\u00e8re\u00a0;\n-   l'encapsulation de signatures XML permet de contourner\n    l'authentification.\n\n## Solution\n\nLes versions IBM WebSphere 6.1.0.39 et 7.0.0.19 r\u00e9solvent ces probl\u00e8mes.\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2011-1411","url":"https://www.cve.org/CVERecord?id=CVE-2011-1411"},{"name":"CVE-2011-1356","url":"https://www.cve.org/CVERecord?id=CVE-2011-1356"},{"name":"CVE-2011-1359","url":"https://www.cve.org/CVERecord?id=CVE-2011-1359"},{"name":"CVE-2011-1355","url":"https://www.cve.org/CVERecord?id=CVE-2011-1355"},{"name":"CVE-2011-0419","url":"https://www.cve.org/CVERecord?id=CVE-2011-0419"}],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 IBM swg27007951 du 18 juillet 2011 :","url":"http://www-01.ibm.com/support/docview.wss?uid=swg27007951#61039"}],"reference":"CERTA-2011-AVI-515","revisions":[{"description":"version initiale.","revision_date":"2011-09-14T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service \u00e0 distance"},{"description":"Injection de requ\u00eates ill\u00e9gitimes par rebond (CSRF)"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"}],"summary":"Plusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 corrig\u00e9es dans IBM WebSphere. Elles\npermettent diverses atteintes \u00e0 la disponibilit\u00e9, \u00e0 l'int\u00e9grit\u00e9 et \u00e0 la\nconfidentialit\u00e9.\n","title":"Vuln\u00e9rabilit\u00e9s dans IBM WebSphere","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 IBM swg27014463 du 12 septembre 2011","url":"http://www-01.ibm.com/support/docview.wss?uid=swg27014463#70019"}]}