Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

XML External Entity erako ahultasuna IBM i2 Intelligence Analysis Platform-en

Argitalpen data: 2019/05/10

Garrantzia: Handia

Kaltetutako baliabideak:

  • IBM i2 Analyst's Notebook 9.0.0, 9.0.1, 9.0.2, 9.0.3, 9.0.4, 9.0.5, 9.0.6, 9.0.7, 9.1.0 eta 9.1.1
  • IBM i2 Analyst's Notebook Premium 9.0.0, 9.0.1, 9.0.2, 9.0.3, 9.0.4, 9.0.5, 9.0.6, 9.0.7, 9.0.8, 9.1.0 eta 9.1.1
  • IBM i2 Enterprise Insight Analysis

Azalpena:

IBM i2 Intelligent Analyis Platform-ek XXE (XML External Entity) erako ahultasun bat konpondu du. Hori baliatuz erasotzaileek informazio konfidentzialera sarbidea eskura lezakete, edo erabiltzailearen sistemak urruneko zerbitzarietara deiak egitea eragin lezakete:

Konponbidea:

  • IBM i2 Analyst's Notebook Version 9.0.6
  • IBM i2 Analyst's Notebook Version 9.1.1
  • IBM i2 Analyst's Notebook Premium Version 9.06
  • IBM i2 Analyst's Notebook Premium Version 9.1.1

Kaltetutako gainerako bertsioetarako partxerik ez dag, eta ondorioz aurreko bertsioetara eguneratzea gomendatzen da.

Xehetasuna:

  • IBM i2 Intelligent Analyis Platform-ek ahultasuna dauka XML (XXE) kanpoko entitatearen injekzio erako eraso baten aurrean XML datuak prozesatzean. Urruneko erasotzaile batek ahultasun hori balia lezake informazio sentikorra agerian uzteko edo memoriaren baliabideak kontsumitzeko. Ahultasun horretarako CVE-2019-4062 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, IBM, Ahultasuna