Vulnerability Bulletins |
Vulnerabilidades en diversos productos IBM |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Aumento de privilegios |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto con cuenta |
System information |
|
| Property | Value |
| Affected manufacturer | Comercial Software |
| Affected software |
IBM Rational ClearQuest 7 y 8 IBM Lotus Notes 8 IBM Tivoli Storage Manager FastBack IBM Rational ClearCase |
Description |
|
|
La vulnerabilidad que afecta a IBM Rational ClearQuest permite debido a un tratamiento incorrecto de unas variables no especificadas, y a través de una web manipulada con tal fin, que un atacante ejecute un ataque cross site scripting. En el caso de IBM Rational ClearQuest, la vulnerabilidad proviene de la integración de código de OpenSSL con la herramienta de IBM, ya que hereda la vulnerabilidad de OpenSSL (CVE-2012-2333) debido a un fallo de interpretación en la longitud de paquetes DTLS (Datagram Transport Layer Security) al usar el cifrado CBC. Debido también a un problema heredado de la integración de otro producto de IBM (Eclipse Help System), IBM Tivoli Storage Manager FastBack puede provocar un ataque de tipo cross-site scripting. Con IBM Lotus Notes 8, si el usuario visita ciertas aplicaciones web del producto, puede provocar que un atacante provoque un ataque de cross-site scripting. |
|
Solution |
|
|
IBM recomienda actualizar las versiones que corrigen estas vulnerabilidades: IBM Rational ClearQuest: actualizar a la versión 7.1.2.9 o 8.0.0.5 IBM Lotus Notes 8: aplicar e Fix 3 (853FP2SHF199) IBM Rational ClearCase: actualizar a la versión 8.0.0.5 o 7.1.2.9 IBM Tivoli Storage Manager FastBack: actualizar a la versión 6.3.1.0 |
|
Standar resources |
|
| Property | Value |
| CVE |
CVE-2012-4839 CVE-2012-4846 CVE-2012-2161 |
| BID | |
Other resources |
|
|
IBM: http://www.ibm.com/support/docview.wss?uid=swg21620342 http://www.ibm.com/support/docview.wss?uid=swg21620361 http://www.ibm.com/support/docview.wss?uid=swg21619604 http://www.ibm.com/support/docview.wss?uid=swg21620340 http://www.ibm.com/support/docview.wss?uid=swg21620352 |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2012-12-19 |