Argitalpen data: 2019/04/25
Garrantzia:
Kritikoa
Kaltetutako baliabideak:
- TIBCO ActiveMatrix BPM, 4.2.0 eta lehenagoko bertsioak.
- TIBCO Silver Fabric-erako TIBCO ActiveMatrix BPM Distribution, 4.2.0 eta lehenagoko bertsioak.
- TIBCO ActiveMatrix Policy Director, 1.1.0 eta lehenagoko bertsioak.
- TIBCO ActiveMatrix Service Bus, 3.3.0 eta lehenagoko bertsioak.
- TIBCO ActiveMatrix Service Grid, 3.3.1 eta lehenagoko bertsioak.
- TIBCO Silver Fabric-erako TIBCO ActiveMatrix Service Grid Distribution, 3.3.0 eta lehenagoko bertsioak.
- ActiveMatrix BPM-rako TIBCO Silver Fabric Enabler, 1.4.1 eta lehenagoko bertsioak.
- ActiveMatrix Service Grid-erako TIBCO Silver Fabric Enabler, 1.3.1 eta lehenagoko bertsioak.
- Administratzailearen web interfazeko osagaiak, administrazio zerbitzaria, web zerbitzari administratzailea, bezeroaren lan area, bezeroaren gune irekia, aplikazioen garapen bezeroa eta REST API.
Azalpena:
TIBCOk bere hainbat produkturi eragiten
dieten 6 ahultasunen berri eman du. Horien bitartez erasotzaile batek hainbat
eraso mota egin litzake: XSS, CSRF, kodearen urruneko exekuzioa, informazio
konfidentziala deskargatzea autentifikaziorik gabe, pribilegioak eskalatzea edo
birbideratze irekia.
Konponbidea:
- TIBCO ActiveMatrix BPMren kasuan, 4.3.0 edo goragoko bertsiora eguneratzea.
- TIBCO Silver Fabric-erako TIBCO ActiveMatrix BPM Distribution-en kasuan, 4.3.0 edo goragoko bertsiora eguneratzea.
- TIBCO ActiveMatrix Policy Director-en kasuan, 2.0.0 edo goragoko bertsiora eguneratzea. Produktu hau 2021. urtearen hasieran erretiratzea aurreikusita dagoenez, arren eskatzen zaie bezeroei TIBCOren laguntza teknikoaren zerbitzuarekin harremanetan jartzea arazoa konpontzeko beste modu batzuk aztertzearren.
- TIBCO ActiveMatrix Service Bus-en kasuan, 3.4.0 edo goragoko bertsiora eguneratzea.
- TIBCO ActiveMatrix Service Grid-en kasuan, 3.4.0 edo goragoko bertsiora eguneratzea.
- TIBCO Silver Fabric-erako TIBCO ActiveMatrix Service Grid Distribution-en kasuan, 3.4.0 edo goragoko bertsiora eguneratzea.
- ActiveMatrix BPMrako TIBCO Silver Fabric Enabler-en kasuan, 1.4.2 edo goragoko bertsiora eguneratzea.
- ActiveMatrix Service Grid-erako TIBCO Silver Fabric Enabler-en kasuan, 1.3.2 edo goragoko bertsiora eguneratzea.
Xehetasuna:
- Pribilegiorik gabeko urruneko erasotzaile batek sarbide osoa lor lezake TIBCO ActiveMatrix Administrator-en web interfazeko gaitasun guztietara XSS edo CSRF bidez. Ahultasun horretarako CVE-2019-8991 identifikatzailea erabili da.
- Pribilegiorik gabeko erabiltzaile batek kodea karga lezake, eta horrela kode arbitrarioa exekuta lezake ActiveMatrix Service Grid-en nodoetan. Ahultasun horretarako CVE-2019-8992 identifikatzailea erabili da.
- Autentifikaziorik gabeko erabiltzaile batek kredentzialen informazioa duen fitxategi bat deskarga lezake. Ahultasun horretarako CVE-2019-8993 identifikatzailea erabili da.
- Autentifikatutako erabiltzaile batek sistemako beste erabiltzaile batzuk engaina litzake asmo gaiztoko webguneak bisita ditzaten. Ahultasun horretarako CVE-2019-8994 identifikatzailea erabili da.
- Erasotzaile batek asmo gaiztoko URL bat erabil lezake erabiltzaile bat engainatzeko eta webgune jakin bat bisita dezan lortzeko. Ahultasun horretarako CVE-2019-8995 identifikatzailea erabili da.
- Pribilegiorik gabeko urruneko erasotzaile batek kaltetutako ActiveMatrix BPM osagaiek agerian utzitako APIetara sarbide osoa lor lezake. Ahultasun horretarako CVE-2019-11203 identifikatzailea erabili da.
Etiketak: Eguneraketa, Komunikazioak, Ahultasuna