CERTA-2009-AVI-212
Vulnerability from certfr_avis - Published: 2009-06-08 - Updated: 2009-06-08
Plusieurs vulnérabilités dans IBM WebSphere Application Server permettent à une personne malveillante de porter atteinte à la confidentialité des données ou d'effectuer une injection de code indirecte.
Description
De mulitples vulnérabilités ont été découvertes dans IBM WebSphere Application Server :
- une erreur dans la page d'authentification permet de récupérer les infomations d'identification ;
- une erreur non spécifiée dans l'API Configservice permet de porter atteinte à la confidentialité des données ;
- une erreur existe dans la spécification de la signature numérique XML ;
- une vulnérabilité non spécifiée affecte wsadmin ;
- une injection de code indirecte est possible dans les exemples d'applications d'IBM WebSphere.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
IBM WebSphere Application Server versions antérieures à la 6.0.2.35.
Impacted products
| Vendor | Product | Description |
|---|
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003eIBM WebSphere Application Server versions ant\u00e9rieures \u00e0 la 6.0.2.35.\u003c/P\u003e",
"content": "## Description\n\nDe mulitples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans IBM WebSphere\nApplication Server :\n\n- une erreur dans la page d\u0027authentification permet de r\u00e9cup\u00e9rer les\n infomations d\u0027identification ;\n- une erreur non sp\u00e9cifi\u00e9e dans l\u0027API Configservice permet de porter\n atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es ;\n- une erreur existe dans la sp\u00e9cification de la signature num\u00e9rique\n XML ;\n- une vuln\u00e9rabilit\u00e9 non sp\u00e9cifi\u00e9e affecte wsadmin ;\n- une injection de code indirecte est possible dans les exemples\n d\u0027applications d\u0027IBM WebSphere.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [],
"initial_release_date": "2009-06-08T00:00:00",
"last_revision_date": "2009-06-08T00:00:00",
"links": [],
"reference": "CERTA-2009-AVI-212",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2009-06-08T00:00:00.000000"
}
],
"risks": [
{
"description": "Injection de code indirecte"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "Plusieurs vuln\u00e9rabilit\u00e9s dans IBM WebSphere Application Server\npermettent \u00e0 une personne malveillante de porter atteinte \u00e0 la\nconfidentialit\u00e9 des donn\u00e9es ou d\u0027effectuer une injection de code\nindirecte.\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans IBM WebSphere Application Server",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 IBM swg27006876 du 01 juin 2009",
"url": "http://www-01.ibm.com/support/docview.wss?uid=swg27006876#60235"
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…