Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun IBMren Cloud Kubernetes Service eta Marketing Platform-en

Argitalpen data: 2018/12/07

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • IBM Cloud Kubernetes Service, 1.12.0tik 1.12.2ra bitarteko bertsioak, 1.11.0tik 1.11.4ra bitartekoak, 1.10.0tik 1.10.10ra bitartekoak eta 1.5etik 1.9ra bitartekoak.
  • IBM Marketing Platform, 9.1.0, 9.1.2 eta 10.1 bertsioak.

Azalpena:

IBMk hainbat ahultasunen berri eman du. Horiek baliatuz baimenik gabeko sarbidea edo pribilegioen eskalatzea lor liteke Kubernetes API Server-en eta informazioaren zabalkundea edo memoriaren kontsumoa IBM Marketing Platform-en.

Konponbidea:

  • IBM Clud Kubernetes Service-ren kasuan, zure clúster-aren bertsioa begiratu ibmcloud ks clusters komandoaren bidez eta ondokoa egiaztatu:
    • 1.10 bertsioa eta geroagokoak eguneratuak izan dira erabiltzaileen esku hartzea behar izan gabe.
    • 1.12.3, 1.11.5 eta 1.10.11 bertsioei ahultasunak ez die eragiten.
    • Clúster-a 1.10, 1.11 edo 1.12 bertsioetan badago eta automatikoki ez bada eguneratu, IBM Cloud Support zerbitzuarekin harremanetan jarri laguntza lortzeko.
    • 1.8 eta 1.9 bertsioak 1.10, 1.11 edo 1.12 bertsioetara eguneratu behar dira.
    • 1.7 bertsioa lehenik 1.9 bertsiora eguneratu behar da, eta ondoren 1.10, 1.11 edo 1.12 bertsioetara.
    • 1.5 bertsioa ezin da eguneratu.
  • IBM Marketing Platform-en kasuan:

Xehetasuna:

  • Kubernetes-en API zerbitzarian eskarien erabilpen desegoki bat baliatuz, urruneko erasotzaile batek, backend-era zuzenean bidal lezakeen bereziki diseinatutako proxy eskari baten bidez, konexioa ezar lezake, zerbitzu kudeatuak sortu eta kode gaiztoa inplementatu pribilegio altuekin. Larritasun kritikoko ahultasun horretarako CVE-2018-1002105 kodea erabili da.
  • IBM Marketing Platform-ek XML External Entity Injection (XXE) erako eraso bat jasan lezake XML datuak prozesatzean. Urruneko erasotzaile batek informazio sentikorra agerian utz lezake edo memoriaren baliabideak kontsumitu. Larritasun altuko ahultasun horietarako CVE-2018-1920 eta CVE-2018-1424 kodeak erreserbatu dira.
Etiketak: Eguneraketa, IBM, Ahultasuna