Boletines de Vulnerabilidades |
Vulnerabilidades en diversos productos IBM |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Aumento de privilegios |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Comercial Software |
Software afectado |
IBM Rational ClearQuest 7 y 8 IBM Lotus Notes 8 IBM Tivoli Storage Manager FastBack IBM Rational ClearCase |
Descripción |
|
La vulnerabilidad que afecta a IBM Rational ClearQuest permite debido a un tratamiento incorrecto de unas variables no especificadas, y a través de una web manipulada con tal fin, que un atacante ejecute un ataque cross site scripting. En el caso de IBM Rational ClearQuest, la vulnerabilidad proviene de la integración de código de OpenSSL con la herramienta de IBM, ya que hereda la vulnerabilidad de OpenSSL (CVE-2012-2333) debido a un fallo de interpretación en la longitud de paquetes DTLS (Datagram Transport Layer Security) al usar el cifrado CBC. Debido también a un problema heredado de la integración de otro producto de IBM (Eclipse Help System), IBM Tivoli Storage Manager FastBack puede provocar un ataque de tipo cross-site scripting. Con IBM Lotus Notes 8, si el usuario visita ciertas aplicaciones web del producto, puede provocar que un atacante provoque un ataque de cross-site scripting. |
|
Solución |
|
IBM recomienda actualizar las versiones que corrigen estas vulnerabilidades: IBM Rational ClearQuest: actualizar a la versión 7.1.2.9 o 8.0.0.5 IBM Lotus Notes 8: aplicar e Fix 3 (853FP2SHF199) IBM Rational ClearCase: actualizar a la versión 8.0.0.5 o 7.1.2.9 IBM Tivoli Storage Manager FastBack: actualizar a la versión 6.3.1.0 |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2012-4839 CVE-2012-4846 CVE-2012-2161 |
BID | |
Recursos adicionales |
|
IBM: http://www.ibm.com/support/docview.wss?uid=swg21620342 http://www.ibm.com/support/docview.wss?uid=swg21620361 http://www.ibm.com/support/docview.wss?uid=swg21619604 http://www.ibm.com/support/docview.wss?uid=swg21620340 http://www.ibm.com/support/docview.wss?uid=swg21620352 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2012-12-19 |