Múltiples vulnerabilidades en productos Hitachi

Hitachi ha publicado varios boletines de seguridad que afectan a diferentes productos, y que pueden permitir a un atacante revelar información sensible y causar denegación de servicio.  Varios fallos son heredados de Apache, integrado en algunos de sus productos, y los restantes son ataques cross-site scripting.

Los fallos heredados de Apache son y afectan a los siguientes productos:

  • Denegación de servicio a través de la función 'apr_brigade_split_line' con CVE-2010-1623, que afecta a los productos Cosminexus HTTP Server (v7,v8,v9), Hitachi Web Server (v3,v4).
        
  • Revelación de información sensible al no restringir la información de la cabecera HTTP en errores 400 con CVE-2012-0053, que afecta a los productos Cosminexus HTTP Server (v5,v6,v7,v8,v9), Hitachi Web Server (v1,v2,v3,v4), Hitachi Web Server - Security Enhancement (v2).
       
  • Denegación de servicio a través de la función 'ap_cleanup_scoreboard' con CVE-2012-0031, que afecta a los productos Cosminexus HTTP Server (v7,v8,v9), Hitachi Web Server(v3,v4).

Por otra parte, los productos Groupmax Collaboration Portal v7, uCosminexus Collaboration Portal v6, Groupmax Collaboration Web Client - Forum/File Sharing v7, uCosminexus Collaboration Portal - Forum/File Sharing v6 y Groupmax Collaboration Web Client – Mail/Schedule v7 son susceptibles a ataques XSS (cross-site scripting).

Más información:

Hitachi (HS12-029):
Hitachi (HS12-031):
Hitachi (HS12-032):
Hitachi (HS12-033):
Fernando Castillo