Hainbat ahultasun TIBCO produktuetan

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak Konfiguratu Onartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/12/18

Garrantzia: Altua

Kaltetutako baliabideak:

TIBCO Spotfire Analyst, honako bertsioak:
- 7.11.1 eta lehenagokoak;
- 7.12.0, 7.13.0, 7.14.0, 10.0.0, 10.1.0, 10.2.0, 10.3.0, 10.3.1, 10.3.2, 10.4.0, 10.5.0 eta 10.6.0.
TIBCO Spotfire Analytics Platform para AWS Marketplace, 10.6.0 bertsioa;
TIBCO Spotfire Deployment Kit, 7.11.1 eta lehenagoko bertsioak;
TIBCO Spotfire Desktop, honako bertsioak:
- 7.11.1 eta lehenagokoak;
- 7.12.0, 7.13.0, 7.14.0, 10.0.0, 10.1.0, 10.2.0, 10.3.0, 10.3.1, 10.3.2, 10.4.0, 10.5.0 eta 10.6.0.
TIBCO Spotfire Desktop Language Packs,7.11.1 eta lehenagoko bertsioak;
TIBCO Spotfire Server, honako bertsioak:
- 7.11.7 eta lehenagoko bertsioak;
- 7.12.0, 7.13.0, 7.14.0, 10.0.0, 10.0.1, 10.1.0, 10.2.0, 10.2.1, 10.3.0, 10.3.1, 10.3.2, 10.3.3, 10.3.4, 10.4.0, 10.5.0 eta 10.6.0.
Osagaiak:
- bistaratzeak;
- datuetarako sarbide geruza;
- Spotfire liburutegia.

Azalpena:

TIBCOk larritasun altuko hiru ahultasun aurkitu ditu. Autentifikatu gabeko urruneko erasotzaile batek kodea exekuta lezake, partekatutako datu iturrietarako kredentzialak agerian utzi edo XSS islatua eragin.

Konponbidea:

TIBCO Spotfire Analyst eta TIBCO Spotfire Desktop:
- 7.11.1 eta lehenagoko bertsioen kasuan, 7.11.2 edo goragokoetara eguneratzea;
- 7.12.0, 7.13.0, 7.14.0, 10.0.0, 10.1.0, 10.2.0, 10.3.0, 10.3.1 eta 10.3.2 bertsioen kasuan, 10.3.3 edo goragokoetara eguneratzea;
- 10.4.0, 10.5.0 eta 10.6.0 bertsioen kasuan, 10.6.1 edo goragokoetara eguneratzea.
AWS Marketplace-rako TIBCO Spotfire Analytics Platform: 10.6.1 edo goragokoetara eguneratzea;
TIBCO Spotfire Deployment Kit: 7.11.2 edo goragokoetara eguneratzea;
TIBCO Spotfire Desktop Language Packs, 7.11.2 edo goragokoetara eguneratzea;
TIBCO Spotfire Server:
- 7.11.7 eta lehenagoko bertsioen kasuan, 7.11.8 edo goragokoetara eguneratzea;
- 7.12.0, 7.13.0, 7.14.0, 10.0.0, 10.0.1, 10.1.0, 10.2.0, 10.2.1, 10.3.0, 10.3.1, 10.3.2, 10.3.3 eta 10.3.4 bertsioen kasuan, 10.3.5 edo goragokoetara eguneratzea;
- 10.4.0, 10.5.0 eta 10.6.0 bertsioen kasuan, 10.6.1 edo goragokoetara eguneratzea.

Xehetasuna:

Aurkitu den ahultasun bat baliatuz, pribilegioak lituzkeen erasotzaile batek DXP fitxategiak alda litzake Spotfire liburutegian, eta horrela urrunetik kodea exekuta lezake sistemara sarbidea duten beste erabiltzaile batzuen kontuan. Ahultasun horretarako CVE-2019-17334 identifikatzailea erabili da.
Erasotzaile batek Spotfire-ren datuen iturrietara sartzeko erabiltzen diren kredentzialak eskuratzeko beharrezkoa den informaziora sarbidea lor lezake. Ahultasun hau soilik balia daiteke NTLM edo profil baten kredentzialak erabiltzen ari direnean. Ahultasun horretarako CVE-2019-17336 identifikatzailea erabili da.
XSS islatu erako ahultasun bat baliatuz erasotzaile batek administratzaile sarbide osoa lor lezake kaltetutako produktuen web interfazera. Ahultasun horretarako CVE-2019-17337 identifikatzailea erabili da.

Etiketak: Eguneraketa, Ahultasuna

Kontaktua

945 236 636

Intzidenteetarako sostengua

900 104 891

Lege oharra Cookie politika Pribatutasun politika