Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/04/25

Garrantzia: Kritikoa

Kaltetutako baliabideak:

• TIBCO ActiveMatrix BPM, 4.2.0 eta lehenagoko bertsioak.
• TIBCO Silver Fabric-erako TIBCO ActiveMatrix BPM Distribution, 4.2.0 eta lehenagoko bertsioak.
• TIBCO ActiveMatrix Policy Director, 1.1.0 eta lehenagoko bertsioak.
• TIBCO ActiveMatrix Service Bus, 3.3.0 eta lehenagoko bertsioak.
• TIBCO ActiveMatrix Service Grid, 3.3.1 eta lehenagoko bertsioak.
• TIBCO Silver Fabric-erako TIBCO ActiveMatrix Service Grid Distribution, 3.3.0 eta lehenagoko bertsioak.
• ActiveMatrix BPM-rako TIBCO Silver Fabric Enabler, 1.4.1 eta lehenagoko bertsioak.
• ActiveMatrix Service Grid-erako TIBCO Silver Fabric Enabler, 1.3.1 eta lehenagoko bertsioak.
• Administratzailearen web interfazeko osagaiak, administrazio zerbitzaria, web zerbitzari administratzailea, bezeroaren lan area, bezeroaren gune irekia, aplikazioen garapen bezeroa eta REST API.

Azalpena:

TIBCOk bere hainbat produkturi eragiten dieten 6 ahultasunen berri eman du. Horien bitartez erasotzaile batek hainbat eraso mota egin litzake: XSS, CSRF, kodearen urruneko exekuzioa, informazio konfidentziala deskargatzea autentifikaziorik gabe, pribilegioak eskalatzea edo birbideratze irekia.

Konponbidea:

• TIBCO ActiveMatrix BPMren kasuan, 4.3.0 edo goragoko bertsiora eguneratzea.
• TIBCO Silver Fabric-erako TIBCO ActiveMatrix BPM Distribution-en kasuan, 4.3.0 edo goragoko bertsiora eguneratzea.
• TIBCO ActiveMatrix Policy Director-en kasuan, 2.0.0 edo goragoko bertsiora eguneratzea. Produktu hau 2021. urtearen hasieran erretiratzea aurreikusita dagoenez, arren eskatzen zaie bezeroei TIBCOren laguntza teknikoaren zerbitzuarekin harremanetan jartzea arazoa konpontzeko beste modu batzuk aztertzearren.
• TIBCO ActiveMatrix Service Bus-en kasuan, 3.4.0 edo goragoko bertsiora eguneratzea.
• TIBCO ActiveMatrix Service Grid-en kasuan, 3.4.0 edo goragoko bertsiora eguneratzea.
• TIBCO Silver Fabric-erako TIBCO ActiveMatrix Service Grid Distribution-en kasuan, 3.4.0 edo goragoko bertsiora eguneratzea.
• ActiveMatrix BPMrako TIBCO Silver Fabric Enabler-en kasuan, 1.4.2 edo goragoko bertsiora eguneratzea.
• ActiveMatrix Service Grid-erako TIBCO Silver Fabric Enabler-en kasuan, 1.3.2 edo goragoko bertsiora eguneratzea.

Xehetasuna:

• Pribilegiorik gabeko urruneko erasotzaile batek sarbide osoa lor lezake TIBCO ActiveMatrix Administrator-en web interfazeko gaitasun guztietara XSS edo CSRF bidez. Ahultasun horretarako CVE-2019-8991 identifikatzailea erabili da.
• Pribilegiorik gabeko erabiltzaile batek kodea karga lezake, eta horrela kode arbitrarioa exekuta lezake ActiveMatrix Service Grid-en nodoetan. Ahultasun horretarako CVE-2019-8992 identifikatzailea erabili da.
• Autentifikaziorik gabeko erabiltzaile batek kredentzialen informazioa duen fitxategi bat deskarga lezake. Ahultasun horretarako CVE-2019-8993 identifikatzailea erabili da.
• Autentifikatutako erabiltzaile batek sistemako beste erabiltzaile batzuk engaina litzake asmo gaiztoko webguneak bisita ditzaten. Ahultasun horretarako CVE-2019-8994 identifikatzailea erabili da.
• Erasotzaile batek asmo gaiztoko URL bat erabil lezake erabiltzaile bat engainatzeko eta webgune jakin bat bisita dezan lortzeko. Ahultasun horretarako CVE-2019-8995 identifikatzailea erabili da.
• Pribilegiorik gabeko urruneko erasotzaile batek kaltetutako ActiveMatrix BPM osagaiek agerian utzitako APIetara sarbide osoa lor lezake. Ahultasun horretarako CVE-2019-11203 identifikatzailea erabili da.

Etiketak: Eguneraketa, Komunikazioak, Ahultasuna