Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

26/04/2011

Debilitat en el xifrat d'IBM WebSphere

S'ha anunciat una vulnerabilitat en IBM WebSphere Application Server i WebSphere Commerce, que podria permetre a un atacant aconseguir accés a informació sensible.

IBM WebSphere Application Server (WAS) és el servidor d'aplicacions de programari de la família WebSphere de IBM. WAS pot funcionar amb diferents servidors web i sistemes operatius inclosos Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemes operatius AIX, Linux, Microsoft, Windows i Solaris.

El problema resideix en un algoritme de xifrat dèbil, empleat per WS-Security per a xifrar les dades intercanviades a través del Web Service (JAX-WS o JAX-RPC). Açò podria permetre a un atacant descobrir les dades xifrades contingudes en les peticions web.

Sistemes Afectats:

IBM WebSphere Application Server (5.0.x, 5.1.x, 6.0.x, 6.1.x y 7.0.x) 
IBM WebSphere Commerce (6.0.x y 7.0.x)

Referències:

None

Solució:

IBM ha publicat les següents actualitzacions per a corregir aquests problemes:
Per a IBM WebSphere Application Server: http://www.ibm.com/support/docview.wss?uid=swg21474220
Per a IBM WebSphere Commerce: http://www-01.ibm.com/support/docview.wss?uid=swg21496880

Notes:

http://www.ibm.com/support/docview.wss?uid=swg21474220
http://www-01.ibm.com/support/docview.wss?uid=swg21496880
http://www.hispasec.com/unaaldia/4564

CSIRT-CV