Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/01/27

Garrantzia: Kritikoa

Kaltetutako baliabideak:

• IBM Security Secret Server, bertsio guztiak;
• IBM WIoTP MessageGateway, 5.0.0.1 bertsioa;
• IBM IoT MessageSight, 5.0.0.0 bertsioa;
• IBM IoT MessageSight, 2.0 bertsioa.

Azalpena:

IBMk hainbat produkturi eragiten dieten bi ahultasun aurkitu ditu, bat larritasun altukoa eta bestea kritikoa. Urruneko erasotzaile batek kode arbitrarioa exekuta lezake sisteman, zerbitzuaren ukapen egoera (DoS) sortu edo informazio sentikorra eskuratu.

Konponbidea:

• IBM Security Secret Server, 10.7 bertsiora edo berriago batera eguneratzea;
• IBM WIoTP MessageGateway, 5.0.0.2 bertsiora eguneratzea;
• IBM MessageSight, 5.0.0.0 bertsiora eguneratzea;
• IBM MessageSight, 2.0.0.2 bertsiora eguneratzea.

Xehetasuna:

• Larritasun kritikoko ahultasunak Watson IoT MessageGateway Server gailuei eragiten die. Gailu horiek ahulak dira bufferraren gainezkatze baten aurrean, akastun HTTP eskaerak kudeatzen dituztenean euren goiburuetan bereziki sortutako edukia badute. Urruneko erasotzaile batek kode arbitrarioa exekuta lezake edo zerbitzuaren ukapen egoera (DoS) sortu. Ahultasun horretarako CVE-2020-4207 identifikatzailea erreserbatu da.
• Kritikotasun altuko ahultasunak Security Secret Server-i eragiten dio. Gailuak ahulak dira birbideratze ireki erako eraso baten aurrean, eta biktima engainatzeko bereziki sortutako webak egin litezke. Urruneko erasotzaile batek informazio sentikorra eskura lezake. Ahultasun horretarako CVE-2019-4631 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, IBM, Ahultasuna