IBM lanza parches de seguridad para mitigar vulnerabilidades

IBM ha lanzado actualizaciones de seguridad para un conjunto de vulnerabilidades existentes desde el año 2020 y 2021, las cuales estaban pendiente de parche por parte del proveedor. Estas vulnerabilidades se han corregido en IBM Planning Analytics 2.0.9.11 e IBM Planning Analytics Workspace 2.0.72. Este aviso de seguridad abarca 11 vulnerabilidades, de las cuales 2 son críticas, 2 altas, 3 medias y 4 de severidad baja. 

CVE-2021-38892 [CVSS: 10]
Limitación incorrecta de un nombre de ruta a un directorio restringido ('Path Traversal')

La API DQM de IBM Planning Analytics permite enviar todas las solicitudes de control en sesiones no autenticadas. Esto permite que un actor de amenazas remoto pueda acceder (sin autenticación previa) a un punto final de PA válido pudiendo leer y escribir archivos en el sistema IBM Planning Analytics, esto dependerá de los permisos del sistema de archivos hasta el cruce de rutas y posiblemente la ejecución remota de código.

CVE-2020-27221 [CVSS: 9.8]
Desbordamiento de búfer basado en pila

Eclipse OpenJ9 es vulnerable a un desbordamiento de búfer basado en pila cuando la máquina virtual o los nativos JNI están convirtiendo de caracteres UTF-8 a codificación de plataforma. Al enviar una cadena demasiado larga, un atacante remoto podría desbordar un búfer y ejecutar código arbitrario en el sistema o hacer que la aplicación se bloquee.

CVE-2021-36090 [CVSS: 7.5]
Vulnerabilidad de denegación de servicio

Apache Commons Compress es vulnerable a una denegación de servicio, causada por un error de falta de memoria cuando se asignan grandes cantidades de memoria. Al leer un archivo ZIP especialmente diseñado, un atacante remoto podría aprovechar esta vulnerabilidad para provocar una condición de denegación de servicio contra los servicios que usan el paquete zip de Compress.

Las versiones afectadas del complemento de API de cobertura de código no aplican la protección de deserialización JEP-200 a los objetos Java que deserializa desde el disco, dando como resultado una vulnerabilidad de ejecución remota de código (RCE) que los atacantes pueden aprovechar para controlar los procesos de los agentes.

CVE-2021-2388 [CVSS: 7.5]
Una vulnerabilidad no especificada en Java SE relacionada con el componente VM podría permitir que un atacante no autenticado tome el control del sistema.

• CVE-2021-2161[CVSS: 5.9]
  Vulnerabilidad no especificada en Java SE 
• CVE-2021-35517 [CVSS: 5.5]
  Vulnerabilidad de Denegación de servicios
• CVE-2021-2369 [CVSS: 4.3]
  Vulnerabilidad no especificada en Java SE

Estas vulnerabilidades fueron abarcadas en la actualización de parches de Octubre 2020 de Oracle

• CVE-2020-14782  [CVSS: 3.7]
  Vulnerabilidad no especificada en Java SE 
• CVE-2020-14797 [CVSS: 3.7]
  Vulnerabilidad no especificada en Java SE 
• CVE-2020-14779 [CVSS: 3.7]
  Vulnerabilidad de Denegación de servicios
• CVE-2020-14796 [CVSS: 3.1]
  Vulnerabilidad no especificada en Java SE 

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.