IBM ha detectado 3
vulnerabilidades, una de severidad crítica y dos de severidad alta. Donde un
atacante remoto podría obtener información sensible, consumir recursos de
memoria, deshabilitar el gestor de seguridad y elevación de sus privilegios,
catalogadas de Importancia: 5 - Crítica
Recursos afectados:
·
IBM
Content Navigator 2.0.3.8
·
IBM
Content Navigator 3.0.2
·
IBM
Content Navigator 3.0.3
·
IBM
Security Identity Governance and Intelligence (IGI) versiones: 5.2, 5.2.1,
5.2.2, 5.2.2.1, 5.2.3, 5.2.3.1, 5.2.3.2
Recomendación
IBM ha publicado
diversas actualizaciones para solventar las vulnerabilidades en función del
producto afectado y su versión.
1.
IBM
Security Identity Governance and Intelligence:
1.1. Actualizar a la
versión 5.2.4.0 https://www-945.ibm.com/support/fixcentral/swg/selectFixes?parent=IBM%20Security&product=ibm/Tivoli/IBM+Security+Identity+Governance&release=5.2.4.0&platform=Linux&function=all
2.
IBM
Content Navigator:
2.1.
Para
la versión 2.0.3.8 descargar la actualización 2.0.3 FP8 LA 19 en Fix Central. https://www.ibm.com/support/fixcentral/
2.2.
Para
la versión 3.0.2 descargar la actualización 3.0.2 LA 06 en Fix Central. https://www.ibm.com/support/fixcentral/
2.3.
Para
la versión 3.0.3 descargar la actualización 3.0.3-iFix004 FixCentral. https://www.ibm.com/support/fixcentral/
Detalle de vulnerabilidades
·
IBM
Content Navigator tiene una vulnerabilidad del tipo XXE a la hora de procesar
datos XML, un atacante podría obtener información sensible o consumir recursos
de memoria. Se ha reservado el identificador CVE-2018-1364 para esta
vulnerabilidad.
·
Una
falla en el verificador de clases en IBM J9 VM podría permitir que código no
fiable deshabilite el gestor de seguridad y elevación de sus privilegios. Se ha
reservado el identificador CVE-2017-1376 para esta vulnerabilidad.
·
IBM
Security Identity Governance Virtual Appliance tiene una vulnerabilidad del
tipo XXE a la hora de procesar datos XML, un atacante remoto podría obtener
información sensible o consumir recursos de memoria. Se ha reservado el
identificador CVE-2017-1472 para esta vulnerabilidad.
Más información
·
Security
Bulletin: IBM has announced a release for IBM Security Identity Governance and
Intelligence in response to multiple security vulnerabilities http://www-01.ibm.com/support/docview.wss?uid=swg22016869
·
Security
Bulletin: FileNet Content Management Interoperability Services (CMIS), which
ships with IBM Content Navigator, is affected by the ability to parse untrusted
XML input containing a reference to an external entity http://www-01.ibm.com/support/docview.wss?uid=swg22017354
Fuente: INCIBE