S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 17 décembre 2009 No CERTA-2009-AVI-551

Affaire suivie par :

CERTA

Objet : Multiples vulnérabilités dans IBM WebSphere

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

• Atteinte à la confidentialité des données ;
• injection de code indirecte.

2 Systèmes affectés

• IBM WebSphere Application Server 6.0.x ;
• IBM WebSphere Application Server 6.1.x.

3 Résumé

Plusieurs vulnérabilités découvertes dans IBM WebSphere permettent à un utilisateur distant malintentionné de réaliser des injections de code indirectes ou de porter atteinte à la confidentialité des données.

4 Description

Une vulnérabilité dans la console d'administration d'IBM WebSphere, causée par un manque de contrôle des requêtes HTTP, peut être exploitée afin de réaliser des injections de code indirectes.

Une vulnérabilité dans Java Naming and Directory Interface permet à une personne malveillante de réaliser des requêtes sur les objets de type UserRegistry et ainsi porter atteinte à la confidentialité des données.

5 Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

• Bulletin de sécurité IBM swg27006876 du 14 décembre 2009 :

  http://www-01.ibm.com/support/docview.wss?uid=swg27006876
  

• Référence CVE CVE-2009-2746 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2746
  

• Référence CVE CVE-2009-2747 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2747
  

Gestion détaillée du document

17 décembre 2009

version initiale.