Inicio / Content / Boletín de INCIBE-CERT del 26-12-2019

Boletín de INCIBE-CERT del 26-12-2019

Fuga de memoria en el proceso tmrouted en BIG-IP de F5

Fecha de publicación: 
26/12/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • BIG-IP (LTM), versiones:
    • 15.0.0 - 15.0.1;
    • 14.1.0 - 14.1.2;
    • 14.0.0 - 14.0.1;
    • 13.1.0 - 13.1.3;
    • 12.1.0 - 12.1.5.
Descripción: 

Una vulnerabilidad en los sistemas BIG-IP, con licencia Routing y configurado con Multicast Forwarding Cache (MFC), podría permitir a un atacante provocar la denegación del servicio.

Solución: 

Actualizar a las versiones:

  • 15.1.0,
  • 14.1.2.1,
  • 14.0.1.1,
  • 13.1.3.2.
Detalle: 

Un sistema BIG-IP, con licencia Routing y configurado con Multicast Forwarding Cache (MFC), podría experimentar una fuga de memoria en el proceso tmrouted, agotar los recursos del sistema y reiniciarlo. Esto podría permitir a un atacante causar la denegación del servicio. Se ha asignado el identificador CVE-2019-6681 para esta vulnerabilidad.

Encuesta valoración

Vulnerabilidad de inyección de parámetros en IBM Spectrum Scale

Fecha de publicación: 
26/12/2019
Importancia: 
4 - Alta
Recursos afectados: 

IBM Elastic Storage Server, versiones:

  • desde 5.3.0, hasta 5.3.4.1;
  • desde 5.0.0, hasta 5.2.7.0;
  • desde 4.5.0, hasta 4.6.0.0;
  • desde 4.0.0, hasta 4.0.6.0.
Descripción: 

IBM Elastic Storage Server está afectado por una vulnerabilidad en IBM Spectrum Scale, donde se pueden obtener privilegios de root inyectando parámetros en los archivos setuid.

Solución: 
  • Para IBM Elastic Storage Server, versiones desde 5.0.0, hasta 5.3.4.1, actualizar a la versión 5.3.4.2;
  • Para IBM Elastic Storage Server, versiones desde 5.0.0, hasta 5.2.7.0, actualizar a la versión 5.2.8;
  • Si no es posible actualizar a las versiones 5.3.2.0 o 5.2.5 de IBM Elastic Storage Server, contactar con IBM Service para obtener un efix:
    • para IBM Elastic Storage Server, versiones desde 5.3.0.0, hasta 5.3.4.1, aplicar APAR IJ18477;
    • para IBM Elastic Storage Server, versiones desde 5.0.0.0, hasta 5.2.7.0, aplicar APAR IJ18518;
    • para IBM Elastic Storage Server, versiones desde 4.0.0, hasta 4.6.0, aplicar APAR IJ18518.
Detalle: 

Se ha identificado una vulnerabilidad en todos los niveles de IBM Spectrum Scale, versiones desde 5.0.0.0, hasta 5.0.3.2 y desde 4.2.0.0, hasta 4.2.3.17, que podría permitir que un atacante local obtuviera privilegios de root inyectando parámetros en los archivos setuid. Se ha asignado el identificador CVE-2019-4558 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en Watson Studio Local de IBM

Fecha de publicación: 
23/12/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • IBM Watson Studio Local, versión 1.2.3;
Descripción: 

IBM ha publicado múltiples vulnerabilidades de severidad alta en Watson Studio Local.

Solución: 

Aplicar la siguiente actualización.

Detalle: 
  • Una vulnerabilidad que involucraba enlaces simbólicos, permitía el acceso arbitrario al directorio de usuarios de Watson Studio Local.
  • La falta de validación de los datos de entrada ofrece un vector de ataque en varias llamadas a la API.
  • Se eliminó el soporte del antiguo protocolo SSL.

Encuesta valoración