Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Fecha de publicación: 02/10/2020

Importancia: Crítica

Recursos afectados:

• IBM Maximo Asset Management, versiones 7.6.0 y 7.6.1.
• Productos de soluciones industriales afectados en caso de utilizar una versión core afectada:
  • Maximo para aviación;
  • Maximo para ciencias;
  • Maximo para energía nuclear;
  • Maximo para petróleo y gas;
  • Maximo para transporte;
  • Maximo para utilidades.
• Productos IBM Control Desk afectados en caso de utilizar una versión core afectada:
  • SmartCloud Control Desk;
  • IBM Control Desk;
  • Tivoli Integration Composer.

Descripción:

IBM ha publicado una vulnerabilidad de severidad crítica que podría permitir a un atacante la omisión de autenticación.

Solución:

Aplicar el Interim Fix o el Fix Pack correspondiente al producto afectado:

• Para la versión 7.6.1.2:
  • aplicar Maximo Asset Management 7.6.1.2 Feature Pack 7.6.1.2-TIV-MAMMT-FP002 o el último Interim Fix disponible.
• Para la versión 7.6.1.1:
  • aplicar Maximo Asset Management 7.6.1.1 iFix 7.6.1.1-TIV-MBS-IFIX002 o el último Interim Fix disponible.
• Para la versión 7.6.1.0:
  • aplicar Maximo Asset Management 7.6.1.0 iFix 7.6.1.0-TIV-MBS-IFIX012 o el último Interim Fix disponible.
• Para la versión 7.6.1.10:
  • aplicar Maximo Asset Management 7.6.0.10 iFix 7.6.0.10-TIV-MBS-IFIX003 o el último Interim Fix disponible.

Detalle:

Por medio de un comando HTTP especialmente diseñado, un atacante podría omitir la autenticación y ejecutar comandos. Se ha asignado el identificador CVE-2020-4493 para esta vulnerabilidad.

Etiquetas: Actualización, IBM, Infraestructuras críticas, Vulnerabilidad