sábado, 15 de diciembre de 2012

Múltiples vulnerabilidades en productos IBM


IBM ha publicado varios boletines de seguridad que afectan a diferentes productos, y que pueden permitir a un atacante provocar ataques de cross site scripting (lo que puede llevar al robo de información sensible) y denegación de servicio. Esta última es un fallo heredado de OpenSSL, integrado en uno de sus productos, y reportado en mayo.

Los dos primeros fallos se dan en IBM Rational ClearQuest en sus ramas 7 y 8. Algunas variables no especificadas no son correctamente saneadas en la interfaz ClearQuest Web, por lo que pueden ser aprovechadas para provocar un cross site scripting si la víctima visita una web especialmente manipulada. Se solucionan actualizando a la versión 7.1.2.9 o 8.0.0.5.

Igual ocurre en IBM Lotus Notes 8, en el que no un atacante podría provocar un ataque de cross site scripting si la víctima visita ciertas aplicaciones web del producto. Se soluciona aplicando e Fix 3 (853FP2SHF199).

IBM Rational ClearCase integra código de OpenSSL, por tanto, ha heredado la vulnerabilidad CVE-2012-2333, que se da por un fallo al interpretar la longitud de paquetes  Datagram Transport Layer Security (DTLS) cuando se usa cifrado CBC. Este fallo fue solucionado en mayo en OpenSSL, pero es ahora cuando IBM ha reconocido el problema y aplicado solución en la versión 8.0.0.5 o 7.1.2.9 del producto.

IBM Tivoli Storage Manager FastBack también hereda un problema de cross site scripting (CVE-2012-2161) de otro producto de IBM que integra, Eclipse Help System que fue solucionado en junio. Se soluciona en la versión 6.3.1.0.

Más información:

Security Bulletin: ClearQuest Phishing Through Frames Vulnerability (CVE-2012-4839)

Interim Fix 3 for Notes 8.5.3 Fix Pack 2 (853FP2IF3)

Security Bulletin: IBM Lotus Notes Web application vulnerability (CVE-2012-4846)

Security Bulletin: IBM Rational ClearCase update for security vulnerabilities in OpenSSL component

Security Bulletin: FB4WKSTNS CAC is affected by multiple vulnerabilities in the underlying IBM Eclipse Help System (CVE-2012-2161



Laboratorio Hispasec

No hay comentarios:

Publicar un comentario en la entrada