Escalada de privilegios en InfoSphere Information Server de IBM

Fecha de publicación: 16/04/2020

Importancia:
Alta

Recursos afectados:

  • InfoSphere Information Server, Information Server on Cloud, versiones 11.7 y 11.5;
  • InfoSphere Information Server, versión 11.3.

Cuyas instalaciones cumplan las siguientes condiciones:

  • Utiliza Information Server, versión 11.7.1. o anterior, o si se actualizó dicha instalación a una versión posterior a la 11.7.1.0.
  • Utiliza WebSphere Application Server Network Deployment (WAS ND).
  • Fue instalado utilizando umask más débil que 022.

Descripción:

IBM ha detectado una vulnerabilidad de criticidad alta que afecta a InfoSphere Information Server. Un atacante remoto podría realizar una escalada de privilegios.

Solución:

  • Para sistemas desplegados independientemente:
    • En la ubicación de WAS ND, cambiar el directorio por el que contiene la carpeta java.
    • chmod -R 755 java.
  • Para sistemas desplegados en clústeres:
    • En la máquina donde esté instalado el gestor:
      • En la ubicación de WAS ND, cambiar el directorio por el que contiene la carpeta java.
      • chmod -R 755 java.
    • En la máquina donde se instaló un perfil personalizado (realizar en todas las máquinas que dispongan de un perfil personalizado, o máquinas horizontales que pertenezcan al clúster):
      • En la ubicación de  WAS ND, cambiar el directorio por el que contiene la carpeta java.
      • chmod -R 755 java.

Detalle:

IBM InfoSphere Information Server podría ser susceptible a ataques basados en escalada de privilegios, debido a una asignación inapropiada de permisos en los archivos utilizados por WebSphere Application Server Network Deployment. Se ha reservado el identificador CVE-2020-4347 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:
IBM, Vulnerabilidad

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.