Avis du CERT-FR

Objet: Vulnérabilité dans IBM WebSphere Application Server Feature Pack for CEA

Gestion du document

Référence	CERTA-2009-AVI-558
Titre	Vulnérabilité dans IBM WebSphere Application Server Feature Pack for CEA
Date de la première version	21 décembre 2009
Date de la dernière version	21 décembre 2009
Source(s)	Bulletin de sécurité IBM swg27017328 du 24 novembre 2009
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Détournement de session.

Systèmes affectés

IBM WebSphere Application Server Feature Pack for Communications Enabled Applications (CEA) 1.x.

Résumé

Une vulnérabilité dans IBM WebSphere Application Server Feature Pack for Communications Enabled Applications permet à un utilisateur distant malveillant de détourner la session d'un utilisateur légitime.

Description

Une vulnérabilité, dû à l'usage de valeurs de session prédictible, peut être exploitée par une personne malintentionnée afin de conduire une attaque visant à détourner la session d'un utilisateur légitime.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité IBM swg27017328 du 24 novembre 2009 :
```
http://www-01.ibm.com/support/docview.wss?uid=swg27017328
```

Référence CVE CVE-2009-2749 :

https://www.cve.org/CVERecord?id=CVE-2009-2749

Gestion détaillée du document

le 21 décembre 2009: version initiale.