WebSphere plug-in maakt uitval van beveiligde verbindingen mogelijk
(NCSC-2012-0224)

low Kans high Schade
Versie 1.00
Publicatiedatum: 20 april 2012
Gerelateerde CVE's
Er kan zich rond 26 april een probleem voordoen in WebSphere-systemen die voor SSL-verbindingen gebruik maken van de standaard key store. IBM heeft een stappenplan geschreven om dit probleem te voorkomen.

Gevolgen

De kwetsbaarheid kan ertoe leiden dat de communicatie tussen de webserver en de applicatieserver uitvalt of van SSL overschakelt op een onversleutelde verbinding.

Beschrijving

IBM biedt de WebSphere Web server plug-in aan waarmee het mogelijk is om vanaf een webserver een verbinding te maken met een WebSphere Application Server. Wanneer de verbinding is gebaseerd op SSL, kan er zich vanaf 26 april 2012 een probleem voordoen indien:

-de webserver gebruik maakt van de standaard plug-in key store en

-het wachtwoord op deze store nooit is aangepast. Aangezien het wachtwoord op 26 april 2012 verloopt, kan de server vanaf dat moment geen gebruik meer maken van de key store waardoor eventuele SSL-verbindingen tussen de webserver en de applicatieserver uitvallen of overschakelen op onversleutelde mode.

Mogelijke oplossingen

IBM heeft een beschrijving gegeven van de stappen die beheerders moeten doorlopen om dit probleem te verhelpen. Het gaat om handmatige stappen, niet om een geautomatiseerde update. Zie de kop 'Solution' in het onderstaande document voor deze beschrijving:
http://www-01.ibm.com/support/docview.wss?uid=swg21588312
Hyperlinks
http://www-01.ibm.com/support/docview.wss?uid=swg21591172

Vrijwaringsverklaring

Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding.

Trackback link

Nog geen reacties

Wees de eerste die reageert!

Laat een reactie achter

Je moet ingelogd zijn om te kunnen reageren.