Múltiples vulnerabilidades en Tableau Desktop
Fecha de publicación
27/03/2019
Importancia
4 - Alta
Recursos Afectados
- Tableau Desktop para sistemas operativos Mac y Windows:
- desde la versión 10.1 hasta 10.1.22
- desde la versión 10.2 hasta 10.2.18
- desde la versión 10.3 hasta 10.3.18
- desde la versión 10.4 hasta 10.4.14
- desde la versión 10.5 hasta 10.5.13
- desde la versión 2018.1 hasta 2018.1.10
- desde la versión 2018.2 hasta 2018.2.7
- desde la versión 2018.3 hasta 2018.3.4
- desde la versión 2019.1 hasta 2019.1.0 (2019.1.1 fue un lanzamiento de Tableau Server paralizado)
- desde la versión 2019.1 hasta 2019.1.1
Descripción
Tableau ha publicado tres vulnerabilidades que afectan a Tableau Desktop que podrían permitir ejecución remota de código y mostrar datos a usuarios no autorizados.
Solución
- Tableau Desktop ha publicado una serie de actualizaciones que mitigan las vulnerabilidades en función de la versión y sistemas operativos. Puede comprobar la versión en el siguiente listado:
- version 10.1.23
- versión 10.2.19
- versión 10.3.19
- versión 10.4.15
- versión 10.5.14
- versión 2018.1.11
- versión 2018.2.8
- versión 2018.3.5
- versión 2019.1.2
Detalle
- Una vulnerabilidad permite la revelación de información en thumbnails (imágenes en miniatura). Un usuario que pueda verlas en un libro de trabajo, podrá ver una imagen estática del mismo, tal y como existía en el momento en el que se publicó. Estas imagen podría contener datos que el usuario «espectador» no tiene permiso para ver.
- Un usuario que se conecta a un Conector de Datos Web malicioso con Tableau Desktop en Mac puede provocar una vulnerabilidad de corrupción de memoria. Un atacante que explote esta vulnerabilidad podría ejecutar código arbitrario o provocar un bloqueo.
- Cuando se utiliza el protocolo NTLM para autenticarse en un sitio web, existe la posibilidad de una lectura y escritura fuera de los límites. Esto podría provocar la ejecución remota de código o un bloqueo. Abrir un libro malicioso o conectarse a una instancia maliciosa de Tableau Server puede provocar esta vulnerabilidad. Esta vulnerabilidad relacionada con la librería «libcurl» tiene asignados los CVE-2018-16890 y CVE-2019-3822 .
Listado de referencias
Etiquetas