Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Fecha de publicación: 06/04/2018

Importancia: Alta

Recursos afectados:

• IBM SPSS Statistics versiones:
  • 21.0.0.2
  • 22.0.0.2
  • 23.0.0.3
  • 24.0.0.2
  • 25.0.0.1

Descripción:

Se han detectado múltiples vulnerabilidades, una de ellas de criticidad alta, la cual podría permitir a un atacante remoto y sin autenticación obtener información importante en los productos afectados.

Solución:

IBM ha publicado una serie de actualizaciones que solucionan las vulnerabilidades. Las actualizaciones dependen de la versión el producto afectado:

• SPSS Statistics versión 21.0.0.2: aplicar la actualización Statistics 21 FP002 IF016
• SPSS Statistics versión 22.0.0.2: aplicar la actualización Statistics 22 FP002 IF017
• SPSS Statistics versión 23.0.0.3: aplicar la actualización Statistics 23 FP003 IF013
• SPSS Statistics versión 24.0.0.2: aplicar la actualización Statistics 24 FP002 IF010
• SPSS Statistics versión 25.0.01: aplicar la actualización Statistics 25 FP001 IF006

Para poder acceder a estas actualizaciones es necesario tener cuenta de usuario en IBM.

Detalle:

La vulnerabilidad de criticidad alta podría permitir que un atacante comprometiera el GSKit de IBM, pudiéndose duplicar el estado PRNG a lo largo de sucesivas llamadas de sistema (fork) cuando se cargan múltiples instancias ICC. Esto podría resultar en IDs de sesión duplicados y en el riesgo de que se duplicara material clave. Se ha reservado el identificador CVE-2018-1426 para esta vulnerabilidad.

Etiquetas: Actualización, IBM, Vulnerabilidad