Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos IBM

Fecha de publicación 20/08/2019
Importancia
4 - Alta
Recursos Afectados
  • IBM API Connect V2018.1-2018.4.1.6
  • IBM Business Automation Workflow, desde V18.0.0.0, hasta V19.0.0.2
  • IBM Business Process Manager, desde V8.6.0.0, hasta V8.6.0.0 Cumulative Fix 2018.03
  • IBM Business Process Manager, desde V8.5.7.0, hasta V8.5.7.0 Cumulative Fix 2017.06
  • IBM Business Process Manager, desde V8.5.6.0, hasta V8.5.6.0 CF2
  • IBM Business Process Manager V8.5.5.0
  • IBM Business Process Manager, desde V8.5.0.0, hasta V8.5.0.2
  • IBM Business Process Manager, desde V8.0.0.0, hasta V8.0.1.3
  • IBM Business Process Manager, desde V7.5.0.0, hasta V7.5.1.2
  • IBM Security Guardium Big Data Intelligence 4.0
  • IBM® Intelligent Operations Center V5.1.0 - V5.2.0
  • IBM® Intelligent Operations Center for Emergency Management V5.1.0 - V5.1.0.6
  • IBM® Water Operations for Waternamics V5.1.0 - V5.2.1.1
  • IBM DataPower Gateway2018.4.1.0 - 2018.4.1.6
  • IBM DataPower Gateway7.6.0.0 - 7.6.0.15;
  • IBM DataPower Gateway CD CD;
  • IBM MQ Appliance 8.0 Maintenance levels, desde 8.0.0.0, hasta 8.0.0.12;
  • IBM MQ Appliance 9.1 Long Term Support (LTS) Release Maintenance levels, desde 9.1.0.0, hasta 9.1.0.2;
  • IBM MQ Appliance 9.1.x Continuous Delivery (CD) Release Continuous delivery updates, desde 9.1.1, hasta 9.1.2;
  • IBM InfoSphere Global Name Management 5.0 y 6.0;
  • IBM InfoSphere Identity Insight 8.1 y 9.0;
  • IBM Emptoris Contract Management, desde la 10.1.0, hasta la 10.1.3;
  • IBM Emptoris Spend Analysis, desde la 10.1.0, hasta la 10.1.3;
  • IBM Informix Dynamic Server en plataformas Linux, desde 12.10.FC1, hasta 12.10.FC12.
Descripción

IBM ha publicado varios avisos de seguridad sobre 21 vulnerabilidades de severidad alta que afectan a sus productos.

Solución

Aplicar las siguientes actualizaciones en función del producto afectado:

Detalle

Un atacante que aprovechara alguna de las vulnerabilidades descritas en este aviso, podría llegar a realizar alguna de las siguientes acciones:

  • eliminar, de forma inadvertida, algunos parches de seguridad que podrían exponer la máquina a ataques adicionales;
  • filtrar, de forma inadvertida, detalles confidenciales sobre servidores internos y red a través de API swagger;
  • exponer información sensible o consumir recursos de memoria,
  • denegar el servicio a través de una API desprotegida,
  • consumir más recursos de los previstos,
  • obtener credenciales de cuenta por fuerza bruta,
  • ejecutar comandos arbitrarios en el sistema,
  • ver, añadir, modificar o eliminar información en la base de datos del back-end;
  • obtener privilegios de root,
  • ejecutar código predefinido con privilegios de root, como escalar a un shell de root;
  • cargar bibliotecas maliciosas y obtener privilegios de root.

Se han asignado los identificadores: CVE-2019-4504, CVE-2019-4437, CVE-2019-4424, CVE-2019-4402, CVE-2019-4340, CVE-2019-4338, CVE-2019-4419, CVE-2019-4310, CVE-2019-4294, CVE-2019-4433, CVE-2019-4481, CVE-2019-4483, CVE-2018-1630, CVE-2018-1631, CVE-2018-1632, CVE-2018-1633, CVE-2018-1634, CVE-2018-1635, CVE-2018-1636, CVE-2018-1796 y CVE-2019-4253 para estas vulnerabilidades.

Encuesta valoración

Listado de referencias
Security Bulletin: API Connect V2018 (ova) is impacted by vulnerabilities in Ubuntu OS (CVE-2019-4504)
Security Bulletin: API Connect V2018 is impacted by a information disclosure vulnerability (CVE-2019-4437)
Security Bulletin: XML External Entity Injection vulnerability in IBM Business Automation Workflow and IBM Business Process Manager (BPM) (CVE-2019-4424)
Security Bulletin: IBM API Connect Developer Portal V2018 is vulnerable to denial of service(DoS) attacks(CVE-2019-4402)
Security Bulletin: IBM Security Guardium Big Data Intelligence is affected by a XML External Entity vulnerability
Security Bulletin: IBM Security Guardium Big Data Intelligence is affected by a Denial of service vulnerability
Security Bulletin: IBM® Intelligent Operations Center is vulnerable to an XML External Entity Injection (XXE) attack when processing XML data (CVE-2019-4419)
Security Bulletin: IBM Security Guardium Big Data Intelligence is affected by a Improper Restriction of Excessive Authentication Attempts vulnerability
Security Bulletin: IBM DataPower Gateway is affected by an injection vulnerability (CVE-2019-4294)
Security Bulletin: IBM MQ Appliance is affected by a command injection vulnerability (CVE-2019-4294)
Security Bulletin: Information disclosure for IBM Infosphere Global Name Management
Security Bulletin: Information disclosure for IBM Infosphere Identity Insight
Security Bulletin: SQL Injection Affects IBM Emptoris Spend Analysis and IBM Emptoris Contract Management (CVE-2019-4481, CVE-2019-4483)
Security Bulletin: IBM Informix Dynamic Server is affected by privilege escalation vulnerabilities
Etiquetas