Argitalpen data: 2020/04/16
Garrantzia: Altua
Kaltetutako baliabideak:
- InfoSphere Information Server, Information Server on Cloud, 11.7 eta 11.5 bertsioak;
- InfoSphere Information Server, 11.3 bertsioa.
Euren instalazioek ondoko baldintzak betetzen dituztenean:
- Information Server erabiltzen du, 11.7.1 edo lehenagoko bertsioa, edo instalazio hori 11.7.1.0 baino geroagoko bertsio batera eguneratu bada.
- WebSphere Application Server Network Deployment (WAS ND) erabiltzen du.
- 022 baino ahulagoa zen umask erabiliz instalatu zen.
Azalpena:
IBMk kritikotasun altuko ahultasun bat aurkitu du, InfoSphere Information Server-i eragiten diona. Urruneko erasotzaile batek pribilegioen eskalatzea egin lezake.
Konponbidea:
- Modu independentean hedatutako sistemen kasuan:
- WAS ND kokapenean java karpeta daukan direktorioa aldatu.
- chmod -R 755 java.
- Klusterretan hedatutako sistemen kasuan:
- Kudeatzailea instalatuta dagoen makinan:
- WAS ND kokapenean java karpeta daukan direktorioa aldatu.
- chmod -R 755 java.
- Profil pertsonalizatua instalatu zen makinan (hau egin behar da profil pertsonalizatua duten makina guztietan edo klusterreko parte diren makina horizontaletan):
- WAS ND kokapenean java karpeta daukan direktorioa aldatu.
- chmod -R 755 java.
Xehetasuna:
IBM InfoSphere Information Server-ek pribilegioen eskalatzean oinarritutako erasoak jasan litzake, WebSphere Application Server Network Deployment-ek erabiltzen dituen fitxategietako baimenen esleipen desegoki baten ondorioz. Ahultasun horretarako CVE-2020-4347 identifikatzailea erreserbatu da.
Etiketak:IBM, Ahultasuna