int(6578)

Boletines de Vulnerabilidades

Vulnerabilidades en diversos productos IBM

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Aumento de privilegios
Dificultad Avanzado
Requerimientos del atacante Acceso remoto con cuenta

Información sobre el sistema
Propiedad Valor
Fabricante afectado Comercial Software
Software afectado IBM Rational ClearQuest 7 y 8
IBM Lotus Notes 8
IBM Tivoli Storage Manager FastBack
IBM Rational ClearCase

Descripción
La vulnerabilidad que afecta a IBM Rational ClearQuest permite debido a un tratamiento incorrecto de unas variables no especificadas, y a través de una web manipulada con tal fin, que un atacante ejecute un ataque cross site scripting.
En el caso de IBM Rational ClearQuest, la vulnerabilidad proviene de la integración de código de OpenSSL con la herramienta de IBM, ya que hereda la vulnerabilidad de OpenSSL (CVE-2012-2333) debido a un fallo de interpretación en la longitud de paquetes DTLS (Datagram Transport Layer Security) al usar el cifrado CBC.
Debido también a un problema heredado de la integración de otro producto de IBM (Eclipse Help System), IBM Tivoli Storage Manager FastBack puede provocar un ataque de tipo cross-site scripting.
Con IBM Lotus Notes 8, si el usuario visita ciertas aplicaciones web del producto, puede provocar que un atacante provoque un ataque de cross-site scripting.

Solución
IBM recomienda actualizar las versiones que corrigen estas vulnerabilidades:
IBM Rational ClearQuest: actualizar a la versión 7.1.2.9 o 8.0.0.5
IBM Lotus Notes 8: aplicar e Fix 3 (853FP2SHF199)
IBM Rational ClearCase: actualizar a la versión 8.0.0.5 o 7.1.2.9
IBM Tivoli Storage Manager FastBack: actualizar a la versión 6.3.1.0

Identificadores estándar
Propiedad Valor
CVE CVE-2012-4839
CVE-2012-4846
CVE-2012-2161
BID

Recursos adicionales
IBM:
http://www.ibm.com/support/docview.wss?uid=swg21620342
http://www.ibm.com/support/docview.wss?uid=swg21620361
http://www.ibm.com/support/docview.wss?uid=swg21619604
http://www.ibm.com/support/docview.wss?uid=swg21620340
http://www.ibm.com/support/docview.wss?uid=swg21620352

Histórico de versiones
Versión Comentario Fecha
1.0 Aviso emitido 2012-12-19

Miembros de

CERT
FIRST
TF-CSIRT
EGC Group
UE
Red Nacional de SOC
Foro Nacional de Ciberseguridad
CSIRT.es
Ministerio de Defensa
CNI
CCN
CCN-CERT