Descripción
IBM ha publicado una actualización que resuelve 4 vulnerabilidades que afectan a los productos de “IHS server” y “WebSphere Application Server” del software base para VIOS IBM Tivoli Monitoring (ITM). Los identificadores asignados a estas fallas son:
- CVE-2020-4450 CVSSv3.0 9.8 [Critico]
- CVE-2019-4670 CVSSv3.0 6.5 [Medio]
- CVE-2020-4163 CVSSv3.0 6.6 [Medio]
- CVE-2019-10086 CVSSv3.0 5.3 [Medio]
La falla CVE-2020-4450 y CVE-2019-4670 afectan a WebSphere Application Server de forma remota, la primera vulnerabilidad permite ejecutar código arbitrario en el sistema a través de una secuencia de objetos especialmente diseñada y la segunda, permite a un atacante obtener información confidencial.
La vulnerabilidad CVE-2020-4163 permite a un atacante crear un archivo malicioso que es malinterpretado como contenido jsp, permitiendo su ejecución.
En el caso de la vulnerabilidad CVE-2019-10086 puede permitir a un usuario malintencionado tener acceso remoto no autorizado al sistema y causar fallas, eliminando la propiedad predeterminada de clase en “Apache Commons Beanutils” y obtener acceso al cargador de clases.
Nivel de riesgo
- CVSSv3.0 9.8 [Critico]
- CVSSv3.0 6.5 [Medio]
- CVSSv3.0 6.6 [Medio]
- CVSSv3.0 5.3 [Medio]
Sistemas/tecnologías afectadas:
- IBM Tivoli Monitoring, versión 6.3.0, Fix Pack 7, Service Pack 5.
Vulnerabilidad CVE-2020-4450
- WebSphere Application Server versión 9.0
- WebSphere Application Server versión 8.5
Vulnerabilidad CVE-2020-4163, CVE-2019-4670
- Servidor de aplicaciones WebSphere versión 9.0
- Servidor de aplicaciones WebSphere versión 7.0
- Servidor de aplicaciones WebSphere versión 8.0
- Servidor de aplicaciones WebSphere versión 8.5
Vulnerabilidad CVE-2019-10086
- IBM InfoSphere Information Server versión 11.3
- IBM InfoSphere Information Server versión 11.5
- IBM InfoSphere Information Server versión 11.7
- IBM InfoSphere Information Server en la nube 11.5
- IBM InfoSphere Information Server en la nube 11.7
Medidas de erradicación
A continuación, se listan las actualizaciones de seguridad liberadas por IBM para corregir las vulnerabilidades reportadas en esta alerta:
- 6.X.X-TIV-ITM_TEPS_EWAS-IHS_
ALL_8.55.17.01 VRMF 6.3.0.x
Referencias