29 de julio de 2018

IBM. Múltiples vulnerabilidades en productos de la firma

IBM ha detectado 3 vulnerabilidades, una de severidad crítica y dos de severidad alta. Donde un atacante remoto podría obtener información sensible, consumir recursos de memoria, deshabilitar el gestor de seguridad y elevación de sus privilegios, catalogadas de Importancia: 5 - Crítica
Recursos afectados:
·        IBM Content Navigator 2.0.3.8
·        IBM Content Navigator 3.0.2
·        IBM Content Navigator 3.0.3
·        IBM Security Identity Governance and Intelligence (IGI) versiones: 5.2, 5.2.1, 5.2.2, 5.2.2.1, 5.2.3, 5.2.3.1, 5.2.3.2
Recomendación
IBM ha publicado diversas actualizaciones para solventar las vulnerabilidades en función del producto afectado y su versión.
1.    IBM Security Identity Governance and Intelligence:
2.    IBM Content Navigator:
2.1.   Para la versión 2.0.3.8 descargar la actualización 2.0.3 FP8 LA 19 en Fix Central. https://www.ibm.com/support/fixcentral/
2.2.   Para la versión 3.0.2 descargar la actualización 3.0.2 LA 06 en Fix Central. https://www.ibm.com/support/fixcentral/
2.3.   Para la versión 3.0.3 descargar la actualización 3.0.3-iFix004 FixCentral. https://www.ibm.com/support/fixcentral/
Detalle de vulnerabilidades
·        IBM Content Navigator tiene una vulnerabilidad del tipo XXE a la hora de procesar datos XML, un atacante podría obtener información sensible o consumir recursos de memoria. Se ha reservado el identificador CVE-2018-1364 para esta vulnerabilidad.
·        Una falla en el verificador de clases en IBM J9 VM podría permitir que código no fiable deshabilite el gestor de seguridad y elevación de sus privilegios. Se ha reservado el identificador CVE-2017-1376 para esta vulnerabilidad.
·        IBM Security Identity Governance Virtual Appliance tiene una vulnerabilidad del tipo XXE a la hora de procesar datos XML, un atacante remoto podría obtener información sensible o consumir recursos de memoria. Se ha reservado el identificador CVE-2017-1472 para esta vulnerabilidad.
Más información
·         Security Bulletin: IBM has announced a release for IBM Security Identity Governance and Intelligence in response to multiple security vulnerabilities http://www-01.ibm.com/support/docview.wss?uid=swg22016869
·         Security Bulletin: FileNet Content Management Interoperability Services (CMIS), which ships with IBM Content Navigator, is affected by the ability to parse untrusted XML input containing a reference to an external entity http://www-01.ibm.com/support/docview.wss?uid=swg22017354
Fuente: INCIBE