Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de IBM

Fecha de publicación 12/07/2018
Importancia
5 - Crítica
Recursos Afectados
  • IBM Content Navigator 2.0.3.8
  • IBM Content Navigator 3.0.2
  • IBM Content Navigator 3.0.3
  • IBM Security Identity Governance and Intelligence (IGI) versiones: 5.2, 5.2.1, 5.2.2, 5.2.2.1, 5.2.3, 5.2.3.1, 5.2.3.2

[Actualización 02/11/2018]

  • IBM Business Automation Workflow V18.0.0.0 a V18.0.0.1
  • IBM Business Process Manager V8.6.0.0 hasta V8.6.0.0 parche 2018.03
  • IBM Business Process Manager V8.5.7.0 a V8.5.7.0 parche 2017.06
  • IBM Business Process Manager V8.5.6.0 a V8.5.6.0 CF2
  • IBM Business Process Manager V8.5.5.0
  • IBM Business Process Manager V8.5.0.0 hasta V8.5.0.2
Descripción

IBM ha detectado 3 vulnerabilidades, una de severidad crítica y dos de severidad alta. Donde un atacante remoto podría obtener información sensible, consumir recursos de memoria, deshabilitar el gestor de seguridad y elevación de sus privilegios.

Solución

IBM recomienda actualizar los productos afectados desde su centro de descargas.

Detalle
  • IBM Content Navigator tiene una vulnerabilidad del tipo XXE a la hora de procesar datos XML, un atacante podría obtener información sensible o consumir recursos de memoria. Se ha reservado el identificador CVE-2018-1364 para esta vulnerabilidad.
  • Un fallo en el verificador de clases en IBM J9 VM podría permitir que código no fiable deshabilite el gestor de seguridad y elevación de sus privilegios. Se ha reservado el identificador CVE-2017-1376 para esta vulnerabilidad.
  • IBM Security Identity Governance Virtual Appliance tiene una vulnerabilidad del tipo XXE a la hora de procesar datos XML, un atacante remoto podría obtener información sensible o consumir recursos de memoria. Se ha reservado el identificador CVE-2017-1472 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Security Bulletin: IBM has announced a release for IBM Security Identity Governance and Intelligence in response to multiple security vulnerabilities
Security Bulletin: FileNet Content Management Interoperability Services (CMIS), which ships with IBM Content Navigator, is affected by the ability to parse untrusted XML input containing a reference to an external entity
Security Bulletin: A security vulnerability in FileNet Content Management Interoperability Services (CMIS) might affect IBM Business Automation Workflow and IBM Business Process Manager (BPM) (CVE-2018-1364)
Etiquetas