Revelación de código fuente JSP en IBM Websphere Application Server
El “Gigante Azul” ha anunciado recientemente una vulnerabilidad en IBM Websphere Application Server, que podría facilitar acceso a código fuente JavaServer Pages, JSP, código que en condiciones normales sólo debería ser ejecutable, pero nunca visible.
IBM Websphere es una plataforma bastante popular, orientada a la prestación de servicios empresariales “on demand”. Estos servicios empresariales representan una corriente de gestión moderna con tasas de implantación crecientes. Los sistemas “on demand” permiten obtener, en condiciones de operación controlada, flexibilidad en la infraestructura, integración cómoda de software y sistemas, mejores tasas de productividad y una mejora en lo que las nuevas corrientes denominan resiliencia de negocio, concepto que procede de la ingeniería y ciencia de materiales y que hace referencia a la capacidad de un material de absorber energía ante las deformaciones. El término, aplicado a los negocios y concretamente, a la gestión de la seguridad de la información, expresa la capacidad de adaptación ante estímulos, amenazas y riesgos externos, de modo que la continuidad del negocio quede mínimamente afectada.
Los orígenes de este producto se remontan a 1998, cuando se concibió un primigenio motor de servlets que sería punto de partida para el servidor de aplicaciones futuro. Websphere Application Server es un producto multiplataforma, ya que es posible ejecutarlo con el respaldo de múltiples servidores Web, como Apache HTTP Server, Microsoft Internet Information Services, Netscape Enterprise Server, así como los servidores propios de IBM: HTTP server para i5/OS, para AIX/Linux/Solaris y Microsoft Windows, y para las series z/OS. Esta flexibilidad operativa se debe al empleo de estándares consolidados, como Java 2 Platform Enterprise Edition (J2EE), Web Services y XML.
El ramillete de versiones afectadas es muy numeroso. Según el boletín de IBM, las versiones afectadas son 5.0.2.10, 5.0.2.11, 5.0.2.12, 5.0.2.13, 5.0.2.1, 5.0.2.15 y 5.0.2.16 en lo referente a la rama 5.0.x, así como las versiones 5.1.1.4, 5.1.1.5, 5.1.1.6, 5.1.1.7, 5.1.1.8 y 5.1.1.9 en lo relativo a la rama 5.1.x. Dependiendo de la versión que se tenga en producción, será preceptivo parchear acorde a lo recogido en los enlaces que aparecen en la sección “más información”
Bajo ciertas condiciones, no reveladas por IBM, el código fuente JSP podría ser mostrado en los navegadores que accedan al servidor de aplicaciones, con el consiguiente riesgo de revelación de contenidos sensibles y/o de los mecanismos de control y ejecución presentes en el código, lo que podría ser aprovechado para obtener información privilegiada, así como tratar de adulterar los controles de los componentes cuyo código quedase al descubierto.
El fabricante ha dispuesto de un enlace, que aparece al pie de la noticia, en la que se exponen, para cada caso, las pautas y actuaciones recomendables, para cada caso de fallo diagnosticado. Los usuarios afectados, en caso de duda, pueden recurrir al servicio posventa de la compañía para obtener información adicional al respecto.
