Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun TIBCO produktuetan

Argitalpen data: 2019/12/18

Garrantzia: Altua

Kaltetutako baliabideak:

  • TIBCO Spotfire Analyst, honako bertsioak:
    • 7.11.1 eta lehenagokoak;
    • 7.12.0, 7.13.0, 7.14.0, 10.0.0, 10.1.0, 10.2.0, 10.3.0, 10.3.1, 10.3.2, 10.4.0, 10.5.0 eta 10.6.0.
  • TIBCO Spotfire Analytics Platform para AWS Marketplace, 10.6.0 bertsioa;
  • TIBCO Spotfire Deployment Kit, 7.11.1 eta lehenagoko bertsioak;
  • TIBCO Spotfire Desktop, honako bertsioak:
    • 7.11.1 eta lehenagokoak;
    • 7.12.0, 7.13.0, 7.14.0, 10.0.0, 10.1.0, 10.2.0, 10.3.0, 10.3.1, 10.3.2, 10.4.0, 10.5.0 eta 10.6.0.
  • TIBCO Spotfire Desktop Language Packs,7.11.1 eta lehenagoko bertsioak;
  • TIBCO Spotfire Server, honako bertsioak:
    • 7.11.7 eta lehenagoko bertsioak;
    • 7.12.0, 7.13.0, 7.14.0, 10.0.0, 10.0.1, 10.1.0, 10.2.0, 10.2.1, 10.3.0, 10.3.1, 10.3.2, 10.3.3, 10.3.4, 10.4.0, 10.5.0 eta 10.6.0.
  • Osagaiak:
    • bistaratzeak;
    • datuetarako sarbide geruza;
    • Spotfire liburutegia.

Azalpena:

TIBCOk larritasun altuko hiru ahultasun aurkitu ditu. Autentifikatu gabeko urruneko erasotzaile batek kodea exekuta lezake, partekatutako datu iturrietarako kredentzialak agerian utzi edo XSS islatua eragin.

Konponbidea:

  • TIBCO Spotfire Analyst eta TIBCO Spotfire Desktop:
    • 7.11.1 eta lehenagoko bertsioen kasuan, 7.11.2 edo goragokoetara eguneratzea;
    • 7.12.0, 7.13.0, 7.14.0, 10.0.0, 10.1.0, 10.2.0, 10.3.0, 10.3.1 eta 10.3.2 bertsioen kasuan, 10.3.3 edo goragokoetara eguneratzea;
    • 10.4.0, 10.5.0 eta 10.6.0 bertsioen kasuan, 10.6.1 edo goragokoetara eguneratzea.
  • AWS Marketplace-rako TIBCO Spotfire Analytics Platform: 10.6.1 edo goragokoetara eguneratzea;
  • TIBCO Spotfire Deployment Kit: 7.11.2 edo goragokoetara eguneratzea;
  • TIBCO Spotfire Desktop Language Packs, 7.11.2 edo goragokoetara eguneratzea;
  • TIBCO Spotfire Server: 
    • 7.11.7 eta lehenagoko bertsioen kasuan, 7.11.8 edo goragokoetara eguneratzea;
    • 7.12.0, 7.13.0, 7.14.0, 10.0.0, 10.0.1, 10.1.0, 10.2.0, 10.2.1, 10.3.0, 10.3.1, 10.3.2, 10.3.3 eta 10.3.4 bertsioen kasuan, 10.3.5 edo goragokoetara eguneratzea;
    • 10.4.0, 10.5.0 eta 10.6.0 bertsioen kasuan, 10.6.1 edo goragokoetara eguneratzea.

Xehetasuna:

  • Aurkitu den ahultasun bat baliatuz, pribilegioak lituzkeen erasotzaile batek DXP fitxategiak alda litzake Spotfire liburutegian, eta horrela urrunetik kodea exekuta lezake sistemara sarbidea duten beste erabiltzaile batzuen kontuan. Ahultasun horretarako CVE-2019-17334 identifikatzailea erabili da.
  • Erasotzaile batek Spotfire-ren datuen iturrietara sartzeko erabiltzen diren kredentzialak eskuratzeko beharrezkoa den informaziora sarbidea lor lezake. Ahultasun hau soilik balia daiteke NTLM edo profil baten kredentzialak erabiltzen ari direnean. Ahultasun horretarako CVE-2019-17336 identifikatzailea erabili da.
  • XSS islatu erako ahultasun bat baliatuz erasotzaile batek administratzaile sarbide osoa lor lezake kaltetutako produktuen web interfazera. Ahultasun horretarako CVE-2019-17337 identifikatzailea erabili da.

Etiketak: Eguneraketa, Ahultasuna