Múltiples vulnerabilidades en productos IBM WebSphere MQ y WebSphere Application Server

Fecha de publicación: 05/01/2018

Importancia:
Alta

Recursos afectados:

• IBM WebSphere MQ 7.0.1.0 – 7.0.1.14
• IBM WebSphere MQ 7.1.0.0 – 7.1.0.8
• IBM WebSphere MQ 7.5.0.0 – 7.5.0.8
• IBM MQ 8.0.0.0 – 8.0.0.7
• IBM MQ (LTS) 9.0.0.0 – 9.0.0.1
• IBM MQ (CD) 9.0.1.0 – 9.0.3.0
• IBM WebSphere Application Server Versiones: Liberty, 9.0, 8.5 y 8.0

Descripción:

Se han identificado vulnerabilidades en productos IBM WebSphere MQ y WebSphere Application Server que podrían permitir la ejecución de código no confiable de forma remota.

Solución:

Para solucionar estas vulnerabilidades se recomienda visitar las siguientes páginas:

• IBM WebSphere MQ is affected by a privilege escalation vulnerability (CVE-2017-1612)
• Security vulnerability in Apache Commons FileUpload used by WebSphere Application Server (CVE-2016-1000031)

Detalle:

IBM ha publicado dos vulnerabilidades de criticidad alta. 

• Vulnerabilidad de ejecución de código no confiable en IBM WebSphere MQ, que permitiría a un usuario ejecutar código no confiable usando de una variable de entorno no documentada usando el usuario ‘mqm’.
• Vulnerabilidad en Apache Commons FileUpload utilizada por WebSphere Application Server tradicional y WebSphere Application Server Liberty, que permitiría a un atacante remoto ejecutar código arbitrario en el sistema en el contexto del proceso, causado por una deseralización de datos no confiables en la clase DiskFileItem de la biblioteca FileUpload.

Etiquetas:
IBM, Vulnerabilidad