IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

El primer problema, con CVE-2016-0377, podría permitir a un atacante obtener información sensible debido a la inadecuada configuración de la cookie CSRFtoken. Afecta a las versiones de IBM WebSphere Application Server 7.0, 8.0, 8.5 y 8.5.5. IBM ha publicado el APAR PI56917 para solucionar esta vulnerabilidad.

Por otra parte, con CVE-2016-0385, un desbordamiento de búfer que podría permitir evitar restricciones de seguridad y visualizar datos a los que no esté autorizado. El problema solo se produce en entornos con la propiedad HttpSessionIdReuse activa. Afecta a las versiones de WebSphere Application Server 7.0, 8.0, 8.5, 8.5.5, 9.0 y Liberty. IBM ha publicado el APAR PI60026para corregir este fallo.

Antonio Ropero

Twitter: @aropero