Argitalpen data: 2019/12/18
Garrantzia:
Altua
Kaltetutako baliabideak:
- TIBCO Spotfire Analyst, honako bertsioak:
- 7.11.1 eta lehenagokoak;
- 7.12.0, 7.13.0, 7.14.0, 10.0.0, 10.1.0, 10.2.0, 10.3.0, 10.3.1, 10.3.2, 10.4.0, 10.5.0 eta 10.6.0.
- TIBCO Spotfire Analytics Platform para AWS Marketplace, 10.6.0 bertsioa;
- TIBCO Spotfire Deployment Kit, 7.11.1 eta lehenagoko bertsioak;
- TIBCO Spotfire Desktop, honako bertsioak:
- 7.11.1 eta lehenagokoak;
- 7.12.0, 7.13.0, 7.14.0, 10.0.0, 10.1.0, 10.2.0, 10.3.0, 10.3.1, 10.3.2, 10.4.0, 10.5.0 eta 10.6.0.
- TIBCO Spotfire Desktop Language Packs,7.11.1 eta lehenagoko bertsioak;
- TIBCO Spotfire Server, honako bertsioak:
- 7.11.7 eta lehenagoko bertsioak;
- 7.12.0, 7.13.0, 7.14.0, 10.0.0, 10.0.1, 10.1.0, 10.2.0, 10.2.1, 10.3.0, 10.3.1, 10.3.2, 10.3.3, 10.3.4, 10.4.0, 10.5.0 eta 10.6.0.
- Osagaiak:
- bistaratzeak;
- datuetarako sarbide geruza;
- Spotfire liburutegia.
Azalpena:
TIBCOk larritasun altuko hiru ahultasun
aurkitu ditu. Autentifikatu gabeko urruneko erasotzaile batek kodea exekuta
lezake, partekatutako datu iturrietarako kredentzialak agerian utzi edo XSS
islatua eragin.
Konponbidea:
- TIBCO Spotfire Analyst eta TIBCO Spotfire Desktop:
- 7.11.1 eta lehenagoko bertsioen kasuan, 7.11.2 edo goragokoetara eguneratzea;
- 7.12.0, 7.13.0, 7.14.0, 10.0.0, 10.1.0, 10.2.0, 10.3.0, 10.3.1 eta 10.3.2 bertsioen kasuan, 10.3.3 edo goragokoetara eguneratzea;
- 10.4.0, 10.5.0 eta 10.6.0 bertsioen kasuan, 10.6.1 edo goragokoetara eguneratzea.
- AWS Marketplace-rako TIBCO Spotfire Analytics Platform: 10.6.1 edo goragokoetara eguneratzea;
- TIBCO Spotfire Deployment Kit: 7.11.2 edo goragokoetara eguneratzea;
- TIBCO Spotfire Desktop Language Packs, 7.11.2 edo goragokoetara eguneratzea;
- TIBCO Spotfire Server:
- 7.11.7 eta lehenagoko bertsioen kasuan, 7.11.8 edo goragokoetara eguneratzea;
- 7.12.0, 7.13.0, 7.14.0, 10.0.0, 10.0.1, 10.1.0, 10.2.0, 10.2.1, 10.3.0, 10.3.1, 10.3.2, 10.3.3 eta 10.3.4 bertsioen kasuan, 10.3.5 edo goragokoetara eguneratzea;
- 10.4.0, 10.5.0 eta 10.6.0 bertsioen kasuan, 10.6.1 edo goragokoetara eguneratzea.
Xehetasuna:
- Aurkitu den ahultasun bat baliatuz, pribilegioak lituzkeen erasotzaile batek DXP fitxategiak alda litzake Spotfire
liburutegian, eta horrela urrunetik kodea exekuta lezake sistemara sarbidea
duten beste erabiltzaile batzuen kontuan. Ahultasun horretarako CVE-2019-17334
identifikatzailea erabili da.
- Erasotzaile batek Spotfire-ren datuen
iturrietara sartzeko erabiltzen diren kredentzialak eskuratzeko beharrezkoa den
informaziora sarbidea lor lezake. Ahultasun hau soilik balia daiteke NTLM edo
profil baten kredentzialak erabiltzen ari direnean. Ahultasun horretarako
CVE-2019-17336 identifikatzailea erabili da.
- XSS islatu erako ahultasun bat baliatuz erasotzaile batek administratzaile sarbide osoa lor lezake kaltetutako produktuen web interfazera. Ahultasun horretarako CVE-2019-17337 identifikatzailea erabili da.
Etiketak: Eguneraketa, Ahultasuna