Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Tableau Desktop

Fecha de publicación 27/03/2019
Importancia
4 - Alta
Recursos Afectados
  • Tableau Desktop para sistemas operativos Mac y Windows:
    • desde la versión 10.1 hasta 10.1.22
    • desde la versión 10.2 hasta 10.2.18
    • desde la versión 10.3 hasta 10.3.18
    • desde la versión 10.4 hasta 10.4.14
    • desde la versión 10.5 hasta 10.5.13
    • desde la versión 2018.1 hasta 2018.1.10
    • desde la versión 2018.2 hasta 2018.2.7
    • desde la versión 2018.3 hasta 2018.3.4
    • desde la versión 2019.1 hasta 2019.1.0 (2019.1.1 fue un lanzamiento de Tableau Server paralizado)
    • desde la versión 2019.1 hasta 2019.1.1
Descripción

Tableau ha publicado tres vulnerabilidades que afectan a Tableau Desktop que podrían permitir ejecución remota de código y mostrar datos a usuarios no autorizados. 

Solución
  • Tableau Desktop ha publicado una serie de actualizaciones que mitigan las vulnerabilidades en función de la versión y sistemas operativos. Puede comprobar la versión en el siguiente listado:
    • version 10.1.23
    • versión 10.2.19
    • versión 10.3.19
    • versión 10.4.15
    • versión 10.5.14
    • versión 2018.1.11
    • versión 2018.2.8
    • versión 2018.3.5
    • versión 2019.1.2
Detalle
  • Una vulnerabilidad permite la revelación de información en thumbnails (imágenes en miniatura). Un usuario que pueda verlas en un libro de trabajo, podrá ver una imagen estática del mismo, tal y como existía en el momento en el que se publicó. Estas imagen podría contener datos que el usuario «espectador» no tiene permiso para ver.
  • Un usuario que se conecta a un Conector de Datos Web malicioso con Tableau Desktop en Mac puede provocar una vulnerabilidad de corrupción de memoria. Un atacante que explote esta vulnerabilidad podría ejecutar código arbitrario o provocar un bloqueo.
  • Cuando se utiliza el protocolo NTLM para autenticarse en un sitio web, existe la posibilidad de una lectura y escritura fuera de los límites. Esto podría provocar la ejecución remota de código o un bloqueo. Abrir un libro malicioso o conectarse a una instancia maliciosa de Tableau Server puede provocar esta vulnerabilidad. Esta vulnerabilidad relacionada con la librería «libcurl» tiene asignados los CVE-2018-16890 y CVE-2019-3822 .

Encuesta valoraciĂ³n

Listado de referencias
Tableau - [Important] ADV-2019-007: Partial information disclosure in thumbnails
Tableau - [Important] ADV-2019-008: Tableau Desktop on Mac memory corruption
Tableau - [Important] ADV-2019-009: libcurl patched
Etiquetas