Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer plusieurs vulnérabilités de WebSphere
Application Server.

Gravité : 2/4

Date création : 19/03/2012

Date révision : 21/03/2012

PRODUITS CONCERNÉS

– IBM WebSphere Application Server

DESCRIPTION DE LA VULNÉRABILITÉ

Sept vulnérabilités ont été annoncées dans WebSphere Application
Server.

Un attaquant peut employer des sauts de lignes, afin de provoquer
un Cross Site Scripting dans la console web. [grav:2/4 ; BID-52721,
CVE-2011-0096, CVE-2012-0720, PM52274]

Un attaquant peut provoquer un Cross Site Scripting dans
cheatSheetPackage de l’Administrative Console. [grav:2/4 ;
BID-52722, CVE-2012-0716, PM53132]

VMM (Virtual Member Manager) ne gère pas correctement les mises à
jour de mot de passe, donc un attaquant peut employer un ancien
mot de passe. [grav:2/4 ; BID-52723, CVE-2011-4889, PM52049]

Lorsque WebSphere Application Server est installé sur IBM i, le
script iscdeploy applique des permissions incorrectes dans les
répertoires $WAS_HOME/systemapps/isclite.ear et
$WAS_HOME/bin/client_ffdc, ce qui permet à un attaquant local de
lire ou modifier leur contenu (VIGILANCE-VUL-11285
(https://vigilance.fr/arbre/1/11285)). [grav:2/4 ; BID-51420,
CVE-2011-1376, PM49712]

Un attaquant peut envoyer des données provoquant des collisions de
stockage, afin de surcharger un service (VIGILANCE-VUL-11254).
[grav:2/4 ; CVE-2012-0193, PM53930]

Une vulnérabilité de WebSphere Application Server impacte les
applications JAX-WS avec WS-Security activé. [grav:2/4 ; PM45181]

Un attaquant peut contourner l’authentification par certificat SSL
client. [grav:2/4 ; BID-52724, CVE-2012-0717, PM52351, swg21587015]

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/WebSphere-AS-6-1-sept-vulnerabilites-11454