Se han descubierto varias
vulnerabilidades de tipo XML External Entity Injection (XXE) que afecta a
varios productos de IBM, catalogadas de Importancia: 4 - Alta
Recursos
afectados:
·
Daeja
ViewONE 5.0
·
Rational
Engineering Lifecycle Manager 5.0 - 5.0.2
·
Rational
Engineering Lifecycle Manager 6.0 - 6.0.6
Recomendación
Para solucionar estas
vulnerabilidades, IBM recomienda actualizar los productos afectados:
1) Daeja ViewONE 5.0:
actualizar a la versión 5.0.4 iFix 6 o posterior.
2) Rational Engineering
Lifecycle Manager 5.0: IBM recomienda actualizar a una versión/plataforma
soportada y compatible con el producto.
3) Rational Engineering
Lifecycle Manager 6.0:
a) Actualizar a CLM
6.0.6 iFix03 https://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~Rational&product=ibm/Rational/Rational+Collaborative+Lifecycle+Management+Solution&release=6.0.6&platform=All&function=all
o posterior.
b) Actualizar a CLM
6.0.2 iFix19 https://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~Rational&product=ibm/Rational/Rational+Collaborative+Lifecycle+Management+Solution&release=6.0.2&platform=All&function=all
o posterior.
Detalle
de vulnerabilidades
Los productos de IBM, Daeja ViewONE y
Rational Engineering Lifecycle Manager son vulnerables a un ataque XML External
Entity Injection (XXE) al procesar datos XML. Un atacante remoto podría
aprovechar estas vulnerabilidades para exponer información confidencial o
consumir recursos de memoria. Se han reservado los identificadores CVE-2018-1835
y CVE-2018-1846 para estas vulnerabilidades.
Más
información
Security Bulletin: ViewONE is
vulnerable to XXE attack when opening PDF documents https://www-01.ibm.com/support/docview.wss?uid=ibm10733815
Security Bulletin: Security
vulnerability affects Rational Engineering Lifecycle Manager https://www-01.ibm.com/support/docview.wss?uid=ibm10738075
Fuente: INCIBE