Múltiples vulnerabilidades en GSKit que afectan a SPSS Statistics de IBM
- IBM SPSS Statistics versiones:
- 21.0.0.2
- 22.0.0.2
- 23.0.0.3
- 24.0.0.2
- 25.0.0.1
Se han detectado múltiples vulnerabilidades, una de ellas de criticidad alta, la cual podría permitir a un atacante remoto y sin autenticación obtener información importante en los productos afectados.
IBM ha publicado una serie de actualizaciones que solucionan las vulnerabilidades. Las actualizaciones dependen de la versión el producto afectado:
- SPSS Statistics versión 21.0.0.2: aplicar la actualización Statistics 21 FP002 IF016
- SPSS Statistics versión 22.0.0.2: aplicar la actualización Statistics 22 FP002 IF017
- SPSS Statistics versión 23.0.0.3: aplicar la actualización Statistics 23 FP003 IF013
- SPSS Statistics versión 24.0.0.2: aplicar la actualización Statistics 24 FP002 IF010
- SPSS Statistics versión 25.0.01: aplicar la actualización Statistics 25 FP001 IF006
Para poder acceder a estas actualizaciones es necesario tener cuenta de usuario en IBM.
La vulnerabilidad de criticidad alta podría permitir que un atacante comprometiera el GSKit de IBM, pudiéndose duplicar el estado PRNG a lo largo de sucesivas llamadas de sistema (fork) cuando se cargan múltiples instancias ICC. Esto podría resultar en IDs de sesión duplicados y en el riesgo de que se duplicara material clave. Se ha reservado el identificador CVE-2018-1426 para esta vulnerabilidad.