Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun IBM Cloud-en IBM WebSphere Application Server-en

Argitalpen data: 2018/10/11

Garrantzia: Kritikoa

Kaltetutako baliabideak:

Ahultasun honek IBM WebSphere Application Server-en ondoko bertsioei eragiten die:

  • Liberty
  • 9.0 bertsioa
  • 8.5 bertsioa

Azalpena:

IBMk segurtasun buletin bat argitaratu du IBM Cloud-eko IBM WebSphere Application Server-i eragiten dioten hainbat ahultasunen berri emanez.

Konponbidea:

Existitzeen den zerbitzu instantzia bat zuzentzeko, segurtasun buletineko Remediation/Fixes atalean zerrendatuta agertzen den ahultasun zehatzari buruzko ohartarazpena ireki beharra dago, eta bertan azalduta agertzen diren urratsak eman. Edo bestela, kaltea duen zerbitzuaren instantzia ezabatu beharra dago, eta instantzia berri bat sortu.

Xehetasuna:

Azaldutako ahultasunak honakoak dira:

  • IBM WebSphere Application Server-ek urruneko erasotzaile bati ahalbidetu liezaioke Java kode arbitrarioa exekutatzen SOAP (Simple Object Access Protocol) konektorearen bidez, iturri ez fidagarriko objektu serializatu batekin. Ahultasun horretarako CVE-2018-1567 identifikatzailea erabili da.
  • Apache MyFaces eta Oracle Mojarra baliatuz urruneko erasotzaile batek sisteman kode arbitrarioa exekuta lezake, ViewStateren konfigurazio oker baten eraginez. ViewState konfiguratuta badago egoeraren informazio ez zifratua erabiltzeko, erasotzaile batek ahultasun hori balia lezake zerbitzariaren classpath-ean dagoen edozein kode exekutatzeko.
  • Form Login erabiltzen duten IBM WebSphere Application Server-en instalazioek urruneko erasotzaile bati ahalbidetu liezaiokete spoofing erasoak egitea. Ahultasun horretarako CVE-2018-1695 identifikatzailea erabili da.
  • IBM WebSphere Application Server-ek baldintza jakin batzuetan espero litekeena baino segurtasun ahulagoa eskain lezake. Horren ondorioz TLS protokoloaren downgrade erako eraso bat gerta liteke. Urruneko erasotzaile batek ahultasun hori balia lezake man-in-the-middle erasoak egiteko. Ahultasun horretarako CVE-2018-1719 identifikatzailea erabili da.
  • WebSphere Application Server Liberty-k urruneko erasotzaile bati informazio konfidentziala eskuratzea ahalbidetu liezaioke, garraio oker batek eraginda Liberty konfiguratuta dagoenean JASPIC (Java Authentication SPI for Containers) erabiltzeko. Hori gerta daiteke aplikazioen zerbitzaria konfiguratuta dagoenean ataka ez seguru batera (http) sarbidea baimentzeko  JASPIC edo JSR375 autentifikazioa erabiliz. Ahultasun horretarako CVE-2018-1755 identifikatzailea erabili da.
  • IBM WebSphere Application Server Liberty-k urruneko erasotzaile bati informazio konfidentziala eskuratzea ahalbidetu liezaioke, ORB (Object Request Broker) komunikazioaren enkriptazioak daukan akatsak eraginda. Ahultasun horretarako CVE-2018-1683 identifikatzailea erabili da.
  • IBM Cloud-eko IBM WebSphere Application Server-ek urruneko erasotzaile bati informazio konfidentziala eskuratzea ahalbidetu liezaioke, pasahitzen erabilera oker baten eraginez. Ahultasun horretarako CVE-2018-1838 identifikatzailea erabili da.
Etiketak: Eguneraketa, IBM, Ahultasuna