domingo, 13 de abril de 2014

Divulgación de contraseñas en IBM SPSS Analytic Server

Se ha confirmado una vulnerabilidad en IBM SPSS Analytic Server que podría permitir a usuarios autenticados obtener todas las contraseñas. 

IBM SPSS Analytic Server es un paquete que pertenece a la familia SPSS, un programa estadístico informático muy usado en las ciencias sociales y las empresas de investigación de mercado.

El problema, con CVE-2014-0920, reside en que IBM SPSS Analytic Server escribe las contraseñas en texto plano en archivos de "log", de tal forma que cualquier usuario autenticado puede obtener dichas contraseñas.  

IBM ha publicado actualizaciones para corregir este problema, IBM SPSS Analytic Server 1.0.0.0 Interim Fix 002 y 1.0.1.0 Interim Fix 004, disponibles desde

Más información:

Security Bulletin: Password displayed in plaintext in logs (CVE-2014-0920)

IBM SPSS Analytic Server 1.0.0.0 Interim Fix 002 and 1.0.1.0 Interim Fix 004


Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada