25 de junio de 2019

IBM. Múltiples vulnerabilidades en productos de la firma

IBM ha reportado dos vulnerabilidades de tipo inyección XXE (XML External Entity) y ejecución remota de código en sus productos IBM InfoSphere Information Server e IBM Tivoli Netcool Impact, respectivamente, catalogadas de Importancia: 4 - Alta
Recursos afectados:
1)   IBM InfoSphere Information:
a)   Server, versiones 11.3, 11.5 y 11.7;
b)   Governance Catalog, versiones 11.3, 11.5 y 11.7;
c)   Server en Cloud, versiones 11.5 y 11.7;
d)   Server Business Glossary, versión 9.1;
e)   Server Metadata Workbench, versión 9.1.
2)   IBM Tivoli Netcool Impact, versiones desde 7.1.0.0 hasta 7.1.0.15.
Recomendación
1)   InfoSphere Information Server:
a)   Para la versión 11.7, actualizar a las versiones 11.7.1.0 y 11.7.1.0 Enterprise Edition;
b)   Para la versión 11.5, actualizar a las versiones 11.5.0.2 y 11.5 Service Pack 5, y aplicar los parches de seguridad XMETA e istool;
c)   Para la versión 11.3, actualizar a la versión 11.3.1.2, y aplicar los parches de seguridad XMETA e istool.
2)   InfoSphere Information Governance Catalog:
a)   Para la versión 11.5, aplicar el parche de seguridad;
b)   Para la versión 11.3, aplicar el parche de seguridad.
3)   Business Glossary y Metadata Workbench: actualizar a una nueva versión.
4)   IBM Tivoli Netcool Impact 7.1.0: aplicar el fix pack 16.
Detalle de vulnerabilidades
IBM InfoSphere Information Server es vulnerable a un ataque de inyección XXE (XML External Entity) al procesar datos XML. Un atacante remoto podría explotar esta vulnerabilidad para exponer información sensible o consumir recursos de memoria. Se ha reservado el identificador CVE-2018-1845 para esta vulnerabilidad.
IBM Tivoli Netcool permite la ejecución remota de comandos por parte de usuarios con bajo nivel de privilegios. Esta vulnerabilidad posibilita la ejecución de código arbitrario en el sistema, pudiendo tomar el control del mismo. Se ha reservado el identificador CVE-2019-4103 para esta vulnerabilidad.
Más informacion
Fuente: INCIBE