Se ha confirmado una vulnerabilidad en IBM SPSS Analytic Server que
podría permitir a usuarios autenticados obtener todas las contraseñas.
IBM SPSS Analytic Server es un paquete que pertenece a la familia SPSS,
un programa estadístico informático muy usado en las ciencias sociales y las
empresas de investigación de mercado.
Detalle e Impacto de la vulnerabilidad
- El problema, con CVE-2014-0920, reside en que IBM SPSS Analytic Server escribe las contraseñas en texto plano en archivos de "log", de tal forma que cualquier usuario autenticado puede obtener dichas contraseñas.
- IBM ha publicado actualizaciones para corregir este problema, IBM SPSS Analytic Server 1.0.0.0 Interim Fix 002 y 1.0.1.0 Interim Fix 004, disponibles desde http://www.ibm.com/support/docview.wss?uid=swg24037298
- Security Bulletin: Password displayed in plaintext in logs (CVE-2014-0920) http://www-01.ibm.com/support/docview.wss?uid=swg21669506
- IBM SPSS Analytic Server 1.0.0.0 Interim Fix 002 and 1.0.1.0 Interim Fix 004 http://www-01.ibm.com/support/docview.wss?uid=swg24037298
