IBM устранила уязвимость обхода аутентификации в WebSphere Application Server

IBM WebSphere

Корпорация IBM выпустила обновления безопасности для WebSphere Application Server и WebSphere Application Server Liberty. Исправления закрывают уязвимость CVE-2026-10842, которая позволяет удалённому злоумышленнику обходить ограничения безопасности на целевой системе. Проблеме присвоен базовый балл 7,5 по шкале CVSS v3.1, что соответствует высокой степени опасности.

Уязвимость CVE-2026-10842

Уязвимость затрагивает продукты IBM WebSphere Application Server версий 8.5 и 9.0, а также Liberty начиная с версии 17.0.0.3 и до 26.0.0.7 включительно. Эксплуатация возможна только при включённых функциях appSecurity-1.0, appSecurity-2.0, appSecurity-3.0 или appSecurity-4.0. По классификации CWE-289 проблема относится к обходу аутентификации через альтернативное имя - злоумышленник может манипулировать данными аутентификации, чтобы получить доступ к ресурсам, которые иначе были бы защищены.

Вектор уязвимости (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N) указывает, что атака выполняется удалённо, не требует повышенных привилегий и взаимодействия с пользователем. Сложность эксплуатации низкая, а единственным последствием является раскрытие конфиденциальной информации - целостность и доступность системы при этом не нарушаются. На практике злоумышленник, отправив специально сформированный запрос к уязвимому серверу, может получить несанкционированный доступ к данным, хранящимся в приложениях, развёрнутых на WebSphere.

IBM отмечает, что проблема была выявлена в процессе внутреннего аудита безопасности. В официальном бюллетене корпорация рекомендует администраторам как можно скорее применить исправления. Для Liberty-версий доступны временные исправления (interim fix), устраняющие проблему в рамках существующих пакетов обновлений. Для традиционной версии WebSphere Application Server 8.5 и 9.0 также выпущены временные исправления, соответствующие записям APAR PH71893 и PH71916.

На данный момент полного пакета исправлений (fix pack) с данной коррекцией ещё нет. IBM планирует выпустить Fix Pack 26.0.0.8 для Liberty и Fix Pack 9.0.5.29 (для 9.0), а также Fix Pack 8.5.5.31 (для 8.5) в третьем квартале 2026 года. До этого момента администраторам следует установить временные исправления в соответствии с инструкциями производителя. В бюллетене также приведены рекомендации по проверке включения функций appSecurity в среде Liberty - для этого используется команда, позволяющая определить, какие компоненты активны.

Отсутствие обходных мер (workarounds) делает установку патчей единственным надёжным способом защиты. Если временное исправление не может быть установлено немедленно, рекомендуется временно отключить затронутые функции appSecurity, если это допустимо с точки зрения бизнес-требований. Однако такое решение может нарушить работу приложений, использующих встроенную аутентификацию WebSphere.

Уязвимости подобного класса - обход ограничений безопасности через альтернативные имена аутентификации - нередко встречаются в крупных серверных платформах. Они особенно опасны в корпоративной среде, где WebSphere традиционно используется для критически важных бизнес-приложений, включая банковские системы, решения для электронной коммерции и государственные информационные системы. Раскрытие конфиденциальных данных в таких системах может привести к серьёзным финансовым и репутационным потерям, а также к нарушению требований регуляторов.

IBM также подчёркивает, что для определения, затронута ли конкретная инсталляция, необходимо проверить версию продукта и наличие включённых функций appSecurity. Администраторам настоятельно рекомендуется ознакомиться с полным текстом бюллетеня, опубликованным на портале поддержки IBM, и выполнить все шаги по установке исправлений. Подписка на уведомления о будущих бюллетенях безопасности позволит оперативно реагировать на новые угрозы.

Ссылки

Комментарии: 0