• +54 (011) 4323-9362
  • |
  • de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar

############################
|A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
############################

Vulnerabilidad DoS en Liferay

16/05/2019

=============================================
CVE-
Fecha de lanzamiento: 16/05/2019
Gravedad: Alta
=============================================

VULNERABILIDAD

Liferay Faces Alloy permite a los atacantes subir archivos muy grandes que pueden utilizarse en un ataque de denegación de servicio en un entorno Servlet (no Portlet)

INFORMACIÓN

Liferay es un portal de gestión de contenidos de código abierto escrito en Java. Se creó en 2000, en principio como solución para las organizaciones sin ánimo de lucro. Asimismo, Liferay Inc. es la empresa de código abierto, que proporciona la documentación gratuita y el servicio profesional de pago a los usuarios de su software. Principalmente enfocada en la tecnología de portales corporativos y empresariales, tiene su sede en Diamond Bar, California, EE.UU

DESCRIPCIÓN

Esta vulnerabilidad no afecta a los portlets (componentes modulares de las interfaces de usuario gestionadas y visualizadas en un portal web) que utilizan Liferay Faces Alloy. Sin embargo, una vulnerabilidad, recientemente descubierta y corregida (DoS via large file upload), hace que la validación com.liferay.faces.util.uploadedFileMaxSize también se ignore en un entorno portlet.

SISTEMAS AFECTADOS

Liferay Faces Alloy, entorno Servlet (non-Portlet) 3.0+

SOLUCIÓN

Aplicar el parche adecuado en función de la versión afectada, 2.0.2 o 3.0.2

FUENTE

https://www.incibe-cert.es/