Boletines de Vulnerabilidades

int(6413)

Boletines de Vulnerabilidades

Vulnerabilidades en IBM WebSphere Application Server
Clasificación de la vulnerabilidad
Propiedad	Valor
Nivel de Confianza	Oficial
Impacto	Denegación de Servicio
Dificultad	Avanzado
Requerimientos del atacante	Acceso remoto sin cuenta a un servicio estandar
Información sobre el sistema
Propiedad	Valor
Fabricante afectado	Comercial Software
Software afectado	IBM WebSphere Application Server 6.1.x anterior a 6.1.0.45 IBM WebSphere Application Server 7.0.x anterior a 7.0.0.25 IBM WebSphere Application Server 8.0.x anterior a 8.0.0.4 IBM WebSphere Application Server 8.5.x anterior a 8.5.0.1
Descripción
Se han descubierto múltiples vulnerabilidades de denegación de servicio y de Cross-site scripting (XSS) en IBM WebSphere Application Server. Las vulnerabilidades son descritas a continuación: - La vulnerabilidad reside en como se utiliza en IBM HTTP Server en IBM WebSphere Application Server (WAS). Un atacante remoto podría provocar una denegación de servicio (daemon crash) a través de un mensaje ClientHello elaborado en el protocolo de enlace TLS. - La vulnerabilidad reside en la consola de administración de IBM WebSphere Application Server (WAS). Un atacante remoto podría realizar un Cross-site scripting (XSS) mediante la inyección de secuencias de comandos web o HTML a través de vectores relacionados con elementos FRAME.
Solución
IBM recomienda aplicar las actualizaciones existentes.
Identificadores estándar
Propiedad	Valor
CVE	CVE-2012-2190 CVE-2012-3293
BID
Recursos adicionales
XFORCE - Multiple IBM products GSKit client hello message denial of service http://xforce.iss.net/xforce/xfdb/75994 XFORCE - WebSphere Application Server Administration Console cross-site scripting http://xforce.iss.net/xforce/xfdb/77179 NIST - Vulnerability Summary for CVE-2012-2190 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-2190 NIST - Vulnerability Summary for CVE-2012-3293 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-3293