Múltiples vulnerabilidades en productos IBM
- IBM API Connect V2018.1-2018.4.1.6
- IBM Business Automation Workflow, desde V18.0.0.0, hasta V19.0.0.2
- IBM Business Process Manager, desde V8.6.0.0, hasta V8.6.0.0 Cumulative Fix 2018.03
- IBM Business Process Manager, desde V8.5.7.0, hasta V8.5.7.0 Cumulative Fix 2017.06
- IBM Business Process Manager, desde V8.5.6.0, hasta V8.5.6.0 CF2
- IBM Business Process Manager V8.5.5.0
- IBM Business Process Manager, desde V8.5.0.0, hasta V8.5.0.2
- IBM Business Process Manager, desde V8.0.0.0, hasta V8.0.1.3
- IBM Business Process Manager, desde V7.5.0.0, hasta V7.5.1.2
- IBM Security Guardium Big Data Intelligence 4.0
- IBM® Intelligent Operations Center V5.1.0 - V5.2.0
- IBM® Intelligent Operations Center for Emergency Management V5.1.0 - V5.1.0.6
- IBM® Water Operations for Waternamics V5.1.0 - V5.2.1.1
- IBM DataPower Gateway2018.4.1.0 - 2018.4.1.6
- IBM DataPower Gateway7.6.0.0 - 7.6.0.15;
- IBM DataPower Gateway CD CD;
- IBM MQ Appliance 8.0 Maintenance levels, desde 8.0.0.0, hasta 8.0.0.12;
- IBM MQ Appliance 9.1 Long Term Support (LTS) Release Maintenance levels, desde 9.1.0.0, hasta 9.1.0.2;
- IBM MQ Appliance 9.1.x Continuous Delivery (CD) Release Continuous delivery updates, desde 9.1.1, hasta 9.1.2;
- IBM InfoSphere Global Name Management 5.0 y 6.0;
- IBM InfoSphere Identity Insight 8.1 y 9.0;
- IBM Emptoris Contract Management, desde la 10.1.0, hasta la 10.1.3;
- IBM Emptoris Spend Analysis, desde la 10.1.0, hasta la 10.1.3;
- IBM Informix Dynamic Server en plataformas Linux, desde 12.10.FC1, hasta 12.10.FC12.
IBM ha publicado varios avisos de seguridad sobre 21 vulnerabilidades de severidad alta que afectan a sus productos.
Aplicar las siguientes actualizaciones en función del producto afectado:
- IBM API Connect V2018.4.1.7 ;
- Interim fix JR61232 según la versión:
- IBM Security Guardium Big Data Intelligence 4.0 (enlace no disponible actualmente);
- IBM® Intelligent Operations Center V5.2.0, Interim fix PO08144 o posterior;
- IBM® Intelligent Operations Center for Emergency Management V5.1.0 - V5.1.0.14, Interim fix PO08148 o posterior;
- IBM® Water Operations for Waternamics V5.1.0 - V5.2.1.1, Interim fix PO08144 o posterior;
- IBM DataPower Gateway2018.4.17 fixpack;
- IBM DataPower Gateway7.6.0.16 fixpack;
- IBM DataPower Gateway CD CD 2018.4.1.7 fixpack;
- IBM MQ Appliance 8.0, iFix IT29355;
- IBM MQ Appliance 9.1 Long Term Support (LTS) Release, fixpack 9.1.0.3 o posterior;
- IBM MQ Appliance 9.1.3 o posterior;
- IBM InfoSphere Global Name Management 5.0.0.1 iFix008;
- InfoSphere Identity Insight 8.1.0.4 iFix005;
- IBM Emptoris Contract Management 10.1.0.31, 10.1.1.30, 10.1.3.24;
- IBM Emptoris Spend Analysis 10.1.0.31, 10.1.1.30, 10.1.3.24;
- IBM Informix Dynamic Server 12.10.FC13.
Un atacante que aprovechara alguna de las vulnerabilidades descritas en este aviso, podría llegar a realizar alguna de las siguientes acciones:
- eliminar, de forma inadvertida, algunos parches de seguridad que podrían exponer la máquina a ataques adicionales;
- filtrar, de forma inadvertida, detalles confidenciales sobre servidores internos y red a través de API swagger;
- exponer información sensible o consumir recursos de memoria,
- denegar el servicio a través de una API desprotegida,
- consumir más recursos de los previstos,
- obtener credenciales de cuenta por fuerza bruta,
- ejecutar comandos arbitrarios en el sistema,
- ver, añadir, modificar o eliminar información en la base de datos del back-end;
- obtener privilegios de root,
- ejecutar código predefinido con privilegios de root, como escalar a un shell de root;
- cargar bibliotecas maliciosas y obtener privilegios de root.
Se han asignado los identificadores: CVE-2019-4504, CVE-2019-4437, CVE-2019-4424, CVE-2019-4402, CVE-2019-4340, CVE-2019-4338, CVE-2019-4419, CVE-2019-4310, CVE-2019-4294, CVE-2019-4433, CVE-2019-4481, CVE-2019-4483, CVE-2018-1630, CVE-2018-1631, CVE-2018-1632, CVE-2018-1633, CVE-2018-1634, CVE-2018-1635, CVE-2018-1636, CVE-2018-1796 y CVE-2019-4253 para estas vulnerabilidades.