Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun TIBCO Spotfire-n

Argitalpen data: 2019/05/15

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

Honako produktu hauen web interfazea kaltetuta dago:

  • TIBCO Spotfire Statistics Services, 7.11.1 eta lehenagoko bertsioak.
  • TIBCO Spotfire Statistics Services, 10.0.0 bertsioa.

Honako produktu hauen web interfazea kaltetuta dago:

  • AWS Marketplace-rako TIBCO Spotfire Analytics Platform, 7.14.0, 7.14.1, 10.0.0, 10.0.1, 10.1.0 eta 10.2.0 bertsioak.
  • TIBCO Spotfire Server, 7.14.0, 10.0.0, 10.0.1, 10.1.0 eta 10.2.0 bertsioak.

Azalpena:

TIBCOk bere TIBCO Spotfire produktuek duten bi ahultasunen berri eman du. Horietako batek web interfazeari eragiten dio eta fitxategi sentikorrak agerian uzten ditu. Bestea Cross-Site Scripting (XSS) islatu erakoa da eta web zerbitzariari eragiten dio

Konponbidea:

TIBCOk kaltetutako produktuen bertsio eguneratuak argitaratu ditu, arazo horiei aurre egiten dietenak:

  • TIBCO Spotfire Services Services-en 7.11.1 eta geroagoko bertsioak 7.11.2 bertsiora edo goragoko batera eguneratzen dira.
  • TIBCO Spotfire Statistics Services-en 10.0.0 bertsioa 10.0.1 bertsiora edo goragoko batera eguneratzen da.
  • AWS Marketplace-rako TIBCO Spotfire Analytics plataforma, 7.14.0, 7.14.1, 10.0.0, 10.0.1, 10.1.0 eta 10.2.0 bertsioak, 10.3.0 edo goragoko batera eguneratzen da.
  • TIBCO Spotfire zerbitzariaren 7.1.4.0, 10.0.0, 10.0.1, 10.1.0 eta 10.2.0 bertsioak 10.2.1 edo goragoko batera eguneratzen dira.

Detalle:

  • Fitxategi konfidentzialak agerian uzten dituen ahultasunak web interfazeari eragiten dio. Hori baliatuz, autentifikatutako erabiltzaile batek Spotfire-ren estatistiken zerbitzuko informazio konfidentzialera sarbidea lor lezake. Arriskuan jar litekeen informazio konfidentzialaren artean datu baseak, JMX, LDAP, Windowseko zerbitzu kontuak eta erabiltzaileen kredentzialak daude. Ahultasun horretarako CVE-2019-11204 identifikatzailea erabili da.
  • Cross-Site Scripting (XSS) islatu erako ahultasunak web zerbitzariari eragiten dio. Hori baliatuz autentifikatu gabeko erasotzaile batek web zerbitzariko web interfazera sarbide administratiboa lor lezake. Ahultasun horretarako CVE-2019-11205 identifikatzailea erabili da.

Etiketak: Eguneraketa, Ahultasuna