Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos de IBM

Fecha de publicación 01/07/2019
Importancia
5 - Crítica
Recursos Afectados
  • IBM Spectrum Protect Plus, versión 10.1.3 y anteriores;
  • IBM Spectrum Protect y Storage Agents:
    • Versiones desde la 8.1.0.0 hasta la 8.1.7.xxx;
    • Versiones desde la 7.1.0.0 hasta la 7.1.9.200;
  • IBM Cognos TM1, versión 10.2.2.
Descripción

IBM ha detectado múltiples vulnerabilidades, de las cuales, una es de severidad crítica, cuatro son altas y una de severidad media.

Solución
  • IBM Spectrum Protect Plus, actualizar a la versión 10.1.4;
  • IBM Spectrum Protect y Storage Agents:
    • Rama 8.1, actualizar a la versión 8.1.8;
    • Rama 7.1, actualizar a la versión 7.1.9.300;
  • IBM Cognos TM1 10.2.2, aplicar el parche de seguridad Cognos TM1 10.2.2.7 Interim Fix 22.
Detalle
  • La vulnerabilidad de severidad crítica en IBM Spectrum Protect y Storage Agents se debe a un desbordamiento de búfer basado en pila. Un atacante remoto podría ejecutar código arbitrario con los privilegios de identidad de la instancia o bloquear el sistema. Se ha reservado el identificador CVE-2019-4087 para esta vulnerabilidad.
  • Una vulnerabilidad de criticidad alta en IBM Spectrum Protect y Storage Agents se debe a la carga en el módulo dsmqsan de una librería especialmente creada. Un atacante local podría obtener privilegios de root en el sistema. Se ha reservado el identificador CVE-2019-4088 para esta vulnerabilidad.
  • Una vulnerabilidad de criticidad alta en IBM Cognos TM1 se debe a llamadas inseguras de las funciones CreateProcess() y CreateProcessAsUser() al usar rutas de búsquedas sin entrecomillar en Windows. Un atacante local podría ejecutar código arbitrario con escalada de privilegios. Se ha reservado el identificador CVE-2019-4245 para esta vulnerabilidad.
  • Una vulnerabilidad de criticidad alta en IBM Spectrum Protect Plus se debe, cuando este es empleado, para proteger bases de datos Oracle o MongoDB. Un atacante podría realizar una escalada de privilegios. Se ha reservado el identificador CVE-2019-4383 para esta vulnerabilidad.
  • Una vulnerabilidad de criticidad alta en IBM Spectrum Protect Plus se debe, cuando este es empleado, para proteger bases de datos Oracle, DB2 o MongoDB. Un atacante podría ejecutar código arbitrario en el sistema. Se ha reservado el identificador CVE-2019-4357 para esta vulnerabilidad.

Encuesta valoración