Múltiples vulnerabilidades en productos IBM WebSphere MQ y WebSphere Application Server

Fecha de publicación 05/01/2018
Importancia
4 - Alta
Recursos Afectados
  • IBM WebSphere MQ 7.0.1.0 – 7.0.1.14
  • IBM WebSphere MQ 7.1.0.0 – 7.1.0.8
  • IBM WebSphere MQ 7.5.0.0 – 7.5.0.8
  • IBM MQ 8.0.0.0 – 8.0.0.7
  • IBM MQ (LTS) 9.0.0.0 – 9.0.0.1
  • IBM MQ (CD) 9.0.1.0 – 9.0.3.0
  • IBM WebSphere Application Server Versiones: Liberty, 9.0, 8.5 y 8.0
Descripción

Se han identificado vulnerabilidades en productos IBM WebSphere MQ y WebSphere Application Server que podrían permitir la ejecución de código no confiable de forma remota.

Solución

Para solucionar estas vulnerabilidades se recomienda visitar las siguientes páginas:

Detalle

IBM ha publicado dos vulnerabilidades de criticidad alta. 

  • Vulnerabilidad de ejecución de código no confiable en IBM WebSphere MQ, que permitiría a un usuario ejecutar código no confiable usando de una variable de entorno no documentada usando el usuario 'mqm'.
  • Vulnerabilidad en Apache Commons FileUpload utilizada por WebSphere Application Server tradicional y WebSphere Application Server Liberty, que permitiría a un atacante remoto ejecutar código arbitrario en el sistema en el contexto del proceso, causado por una deserialización de datos no confiables en la clase DiskFileItem de la biblioteca FileUpload.

Encuesta valoración

Listado de referencias
Security Bulletin: IBM WebSphere MQ is affected by a privilege escalation vulnerability (CVE-2017-1612)
Security Bulletin: Security vulnerability in Apache Commons FileUpload used by WebSphere Application Server (CVE-2016-1000031)
Etiquetas