 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 28 septembre
2007
No CERTA-2007-AVI-421 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités de Websphere
Tableau 1: Gestion du document
| Référence |
CERTA-2007-AVI-421 |
| Titre |
Multiples
vulnérabilités de WebSphere |
| Date de la première
version |
28 septembre 2007 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletins de
sécurité d'IBM |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire à distance
;
- injection de code indirecte (cross
site scripting) ;
- déni de service à distance.
- IBM WebSphere Application Server 6.1.x ;
- IBM HTTP Server 6.1.x.
Plusieurs vulnérabilités des serveurs IBM HTTP et
WebSphere permettent à un utilisateur malveillant de
réaliser un déni de service, local ou à
distance, ou de réaliser de l'injection de code
indirecte.
Plusieurs vulnérabilités affectent les
produits IBM WebSphere :
- une erreur dans la gestion du jeu de caratères
utilisé est présente dans le module mod_status . Elle permet à un
utilisateur malveillant de réaliser, dans des
circonstances particulières, de l'injection de code
indirecte ;
- une erreur de traitement par le module mod_cache des requêtes
malformées permet à un utilisateur malveillant
de réaliser un déni de service à
distance, dans certaines circonstances ;
- un manque de vérification de la nature des
processus fils du serveur web permet à un utilisateur
malveillant local de réaliser un déni de
service ;
- une erreur du module mod_proxy permet à un utilisateur
malintentionné de provoquer un arrêt
inopiné (crash) du
serveur, à distance.
Le correctif APAR PK52702 corrige ces problèmes. Se
référer au bulletin de sécurité de
l'éditeur pour l'obtention des correctifs (cf. section
Documentation).
- 28 septembre 2007
- version initiale.
CERTA
2012-01-04
|
|
)
