Inicio / Content / Boletín de INCIBE-CERT del 27-03-2019

Boletín de INCIBE-CERT del 27-03-2019

Múltiples vulnerabilidades en Tableau Desktop

Fecha de publicación: 
27/03/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • Tableau Desktop para sistemas operativos Mac y Windows:
    • desde la versión 10.1 hasta 10.1.22
    • desde la versión 10.2 hasta 10.2.18
    • desde la versión 10.3 hasta 10.3.18
    • desde la versión 10.4 hasta 10.4.14
    • desde la versión 10.5 hasta 10.5.13
    • desde la versión 2018.1 hasta 2018.1.10
    • desde la versión 2018.2 hasta 2018.2.7
    • desde la versión 2018.3 hasta 2018.3.4
    • desde la versión 2019.1 hasta 2019.1.0 (2019.1.1 fue un lanzamiento de Tableau Server paralizado)
    • desde la versión 2019.1 hasta 2019.1.1
Descripción: 

Tableau ha publicado tres vulnerabilidades que afectan a Tableau Desktop que podrían permitir ejecución remota de código y mostrar datos a usuarios no autorizados. 

Solución: 
  • Tableau Desktop ha publicado una serie de actualizaciones que mitigan las vulnerabilidades en función de la versión y sistemas operativos. Puede comprobar la versión en el siguiente listado:
    • version 10.1.23
    • versión 10.2.19
    • versión 10.3.19
    • versión 10.4.15
    • versión 10.5.14
    • versión 2018.1.11
    • versión 2018.2.8
    • versión 2018.3.5
    • versión 2019.1.2
Detalle: 
  • Una vulnerabilidad permite la revelación de información en thumbnails (imágenes en miniatura). Un usuario que pueda verlas en un libro de trabajo, podrá ver una imagen estática del mismo, tal y como existía en el momento en el que se publicó. Estas imagen podría contener datos que el usuario «espectador» no tiene permiso para ver.
  • Un usuario que se conecta a un Conector de Datos Web malicioso con Tableau Desktop en Mac puede provocar una vulnerabilidad de corrupción de memoria. Un atacante que explote esta vulnerabilidad podría ejecutar código arbitrario o provocar un bloqueo.
  • Cuando se utiliza el protocolo NTLM para autenticarse en un sitio web, existe la posibilidad de una lectura y escritura fuera de los límites. Esto podría provocar la ejecución remota de código o un bloqueo. Abrir un libro malicioso o conectarse a una instancia maliciosa de Tableau Server puede provocar esta vulnerabilidad. Esta vulnerabilidad relacionada con la librería «libcurl» tiene asignados los CVE-2018-16890 y CVE-2019-3822 .

Encuesta valoraciĂ³n

Múltiples vulnerabilidades en productos de TIBCO

Fecha de publicación: 
27/03/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • TIBCO Data Science para AWS, versiones 6.4.0 y anteriores.
  • TIBCO Spotfire Data Science, versiones 6.4.0 y anteriores.
Descripción: 

TIBCO ha publicado 3 vulnerabilidades que afectan a varios de sus productos, en las que un atacante podría obtener acceso con privilegios al componente del servidor web, modificar o eliminar datos y realizar una suplantación de identidad.

Solución: 
  • TIBCO Data Science para AWS, actualizar a la versión 6.4.1 o superior.
  • TIBCO Spotfire Data Science, actualizar a la versión 6.4.1 o superior.
Detalle: 

La explotación exitosa de alguna de estas vulnerabilidades podría permitir a un usuario:

  • Mediante cross-site scripting (XSS) obtener acceso a todas las capacidades de la interfaz web disponibles para los usuarios con privilegios. Se ha asignado el identificador CVE-2019-8987 para esta vulnerabilidad.
  • Escalar sus privilegios en el sistema afectado, de manera que podría modificar y eliminar datos protegidos. Se ha asignado el identificador CVE-2019-8988 para esta vulnerabilidad.
  • Falsificar su cuenta y realizar una suplantación de identidad. Se ha asignado el identificador CVE-2019-8989 para esta vulnerabilidad.

Encuesta valoración

Vulnerabilidad XXE en Sterling B2B Integrator de IBM

Fecha de publicación: 
27/03/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • IBM Sterling B2B Integrator, versión 6.0.0.0
  • [Actualización 02/04/2019]: Las versiones 5.2.x también se ven afectadas
Descripción: 

Se ha detectado una vulnerabilidad de criticidad alta de tipo XML External Entity Injection (XXE) en el producto Sterling B2B Integrator Standard Edition.

Solución: 
  • Descargar la versión 6.0.0.1 de IBM Sterling B2B Integrator.
  • [Actualización 02/04/2019]: Para las versiones 5.2.x, aplicar el parche 5.2.6.4_1
Detalle: 
  • IBM Sterling B2B Integrator Standard Edition es vulnerable a un ataque de tipo XML External Entity Injection (XXE) al procesar datos XML. Un atacante remoto podría explotar esta vulnerabilidad para revelar información sensible o consumir recursos de memoria. Se ha reservado el identificador CVE-2019-4043 para esta vulnerabilidad.

Encuesta valoración

Etiquetas: