• +54 (011) 4323-9362

  • de Lun a Vie de 9 a 17 hs

  • ciberseguridad@ba-csirt.gob.ar

  • ############################
    |A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
    ############################

    Múltiples vulnerabilidades en IBM Security Key Lifecycle Manager
    09/01/2018
    =============================================
    CVE-2017-1671, CVE-2017-1668, CVE-2017-1670 y CVE-2017-1666
    Fecha de lanzamiento: 08/01/2018
    Gravedad: Alta
    =============================================

    VULNERABILIDAD
    --------------------------------------------------------------------------------

    Detectadas varias vulnerabilidades en IBM Security Key Lifecycle Manager, que podrían permitir a un atacante remoto realizar acciones no deseadas.

    INFORMACIÓN
    --------------------------------------------------------------------------------

    IBM International Business Machines Corporation es una reconocida empresa multinacional estadounidense de tecnología y consultoría. IBM fabrica y comercializa hardware y software para computadoras, y ofrece servicios de infraestructura, alojamiento de Internet, y consultoría en una amplia gama de áreas relacionadas con la informática, desde computadoras centrales hasta nanotecnología.

    DESCRIPCIÓN
    --------------------------------------------------------------------------------

    Investigadores de IBM X-Force Ethical Hacking, han detectado cuatro vulnerabilidades de criticidad alta en Security Key Lifecycle Manager.

    - Salto de directorio. Esta vulnerabilidad permitiría a un atacante remoto realizar un salto de directorio en el sistema, permitiéndole ver ficheros arbitrarios del sistema.

    - Redirección de URL a través de suplantación. Esta vulnerabilidad permitiría a un atacante remoto realizar ataques de phishing usando un ataque de redirección abierto.

    - Inyección de SQL. Esta vulnerabilidad permitiría a un atacante remoto enviar sentencias SQL especialmente diseñadas para ver, añadir, modificar o eliminar información de la base de datos.

    - Inyección XXE. Esta vulnerabilidad permitiría a un atacante remoto exponer información confidencial o consumir recursos de memoria mediante ataques de tipo External Entity Injection (XXE).

    SISTEMAS AFECTADOS
    --------------------------------------------------------------------------------

    IBM Security Key Lifecycle Manager v2.5 - 2.5.0.8, v2.6 - 2.6.0.3 y v2.7 - 2.7.0.2

    SOLUCIÓN
    --------------------------------------------------------------------------------

    Se recomienda actualizar los sistemas afectados:

    - IBM Security Key Lifecycle Manager 2.5 - 2.5.0.8 en 2.5.0-ISS-SKLM-FP0009
    - IBM Security Key Lifecycle Manager 2.6- 2.6.0.3 en 2.6.0-ISS-SKLM-FP0004
    - IBM Security Key Lifecycle Manager 2.7- 2.7.0.2 en 2.7.0-ISS-SKLM

    FUENTE
    --------------------------------------------------------------------------------

    https://www.certsi.es/