Risques
- Contournement de la politique de sécurité
- Injection de requêtes illégitimes par rebond (CSRF)
Systèmes affectés
- IBM WebSphere MQ File Transfer Edition Web Gateway versions 7.0.4 et antérieures ;
- IBM WebSphere MQ Managed File Transfer version 7.5.
Résumé
Des vulnérabilités ont été corrigées dans les produits IBM WebSphere. La première concerne un manque de contrôle d'accès dans IBM WebSphere MQ File Transfer Edition permettant à un utilisateur authentifié d'accéder aux transferts d'autres utilisateurs. La seconde concerne également le produit IBM WebSphere MQ Managed File Transfer et permet à un utilisateur malintentionné d'effectuer une injection de requêtes illégitime par rebond (Cross Site Request Forgery).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité IBM swg21607481 du 08 août 2012 : http://www-01.ibm.com/support/docview.wss?uid=swg21607481
- Bulletin de sécurité IBM swg21607482 du 08 août 2012 : http://www-01.ibm.com/support/docview.wss?uid=swg21607482
- Référence CVE CVE-2012-2206 https://www.cve.org/CVERecord?id=CVE-2012-2206
- Référence CVE CVE-2012-3294 https://www.cve.org/CVERecord?id=CVE-2012-3294
