IBM ha publicado una actualización para solucionar una
vulnerabilidad en IBM Endpoint Manager Mobile Device Management (MDM) que
podría permitir la ejecución remota de código.
IBM Endpoint
Manager Mobile Device Management forma parte de la familia de productos IBM
Endpoint Manager (antiguamente conocido como Tivoli Endpoint Manager).
Proporciona herramientas para la administración, protección y presentación de
informes de ordenadores portátiles, de escritorio, servidores, teléfonos
inteligentes, tabletas y otros dispositivos como terminales de punto de venta.
Esto proporciona información y control en tiempo real sobre todos los
dispositivos utilizados por los usuarios.
Detalle e Impacto de la
vulnerabilidad
·
El
problema (con CVE-2014-6140) reside en que los componentes de IBM Endpoint
Manager están basados en Ruby on Rails y usan valores estáticos de
secret_token. Con estos valores, un atacante puede crear cookies de sesión
válidas que contengan objetos serializados de su elección. Esto podría ser
empleado para ejecutar código arbitrario cuando Ruby on Rails deserialice la
cookie.
Recursos
afectados
·
Se
ven afectadas las versiones 8.1, 8.2, 9.0. IBM ha publicado la versión
9.0.60100 que soluciona el problema.
Más
información:
- Unauthenticated
Remote Code Execution in IBM Endpoint Manager Mobile Device Management
Components https://www.redteam-pentesting.de/en/advisories/rt-sa-2014-012/-unauthenticated-remote-code-execution-in-ibm-endpoint-manager-mobile-device-management-components
- Security Bulletin: Unauthenticated Remote Code
Execution in IBM Endpoint Manager Mobile Device Management
(CVE-2014-6140) http://www-01.ibm.com/support/docview.wss?uid=swg21691701