Se ha confirmado una vulnerabilidad en IBM SPSS Analytic Server que podría permitir a usuarios autenticados obtener todas las contraseñas.
IBM SPSS Analytic Server es un paquete que pertenece a la familia SPSS, un programa estadístico informático muy usado en las ciencias sociales y las empresas de investigación de mercado.
El problema, con CVE-2014-0920, reside en que IBM SPSS Analytic Server escribe las contraseñas en texto plano en archivos de «log«, de tal forma que cualquier usuario autenticado puede obtener dichas contraseñas.
IBM ha publicado actualizaciones para corregir este problema, IBM SPSS Analytic Server 1.0.0.0 Interim Fix 002 y 1.0.1.0 Interim Fix 004, disponibles desde
Más información:
Security Bulletin: Password displayed in plaintext in logs (CVE-2014-0920)
IBM SPSS Analytic Server 1.0.0.0 Interim Fix 002 and 1.0.1.0 Interim Fix 004
Antonio Ropero
Twitter: @aropero
