Se han detectado
múltiples vulnerabilidades, una de ellas de criticidad alta, la cual podría
permitir a un atacante remoto y sin autenticación obtener información
importante en los productos afectados, catalogada de Importancia: 4 - Alta
Recursos afectados:
IBM SPSS Statistics
versiones:
·
21.0.0.2
·
22.0.0.2
·
23.0.0.3
·
24.0.0.2
·
25.0.0.1
Recomendación
IBM ha publicado una
serie de actualizaciones que solucionan las vulnerabilidades. Las
actualizaciones dependen de la versión el producto afectado:
1.
SPSS
Statistics versión 21.0.0.2: aplicar la actualización Statistics 21 FP002 IF016
2.
SPSS
Statistics versión 22.0.0.2: aplicar la actualización Statistics 22 FP002 IF017
3.
SPSS
Statistics versión 23.0.0.3: aplicar la actualización Statistics 23 FP003 IF013
4.
SPSS
Statistics versión 24.0.0.2: aplicar la actualización Statistics 24 FP002 IF010
5.
SPSS
Statistics versión 25.0.01: aplicar la actualización Statistics 25 FP001 IF006
Para poder acceder a
estas actualizaciones es necesario tener cuenta de usuario en IBM.
Detalle de vulnerabilidades
La vulnerabilidad de
criticidad alta podría permitir que un atacante comprometiera el GSKit de IBM,
pudiéndose duplicar el estado PRNG a lo largo de sucesivas llamadas de sistema
(fork) cuando se cargan múltiples instancias ICC. Esto podría resultar en IDs
de sesión duplicados y en el riesgo de que se duplicara material clave. Se ha
reservado el identificador CVE-2018-1426 para esta vulnerabilidad.
Más información
- Security Bulletin: IBM SPSS Statistics is affected
by multiple GSKit vulnerabilities http://www-01.ibm.com/support/docview.wss?uid=swg22015252
Fuente: INCIBE
