Múltiples vulnerabilidades en productos IBM

IBM ha publicado varios boletines de seguridad que afectan a diferentes productos, y que pueden permitir a un atacante provocar ataques de cross site scripting (lo que puede llevar al robo de información sensible) y denegación de servicio. Esta última es un fallo heredado de OpenSSL, integrado en uno de sus productos, y reportado en mayo.
Los dos primeros fallos se dan en IBM Rational ClearQuest en sus ramas 7 y 8. Algunas variables no especificadas no son correctamente saneadas en la interfaz ClearQuest Web, por lo que pueden ser aprovechadas para provocar un cross site scripting si la víctima visita una web especialmente manipulada. Se solucionan actualizando a la versión 7.1.2.9 o 8.0.0.5.
Igual ocurre en IBM Lotus Notes 8, en el que no un atacante podría provocar un ataque de cross site scripting si la víctima visita ciertas aplicaciones web del producto. Se soluciona aplicando e Fix 3 (853FP2SHF199).
IBM Rational ClearCase integra código de OpenSSL, por tanto, ha heredado la vulnerabilidad CVE-2012-2333, que se da por un fallo al interpretar la longitud de paquetes Datagram Transport Layer Security (DTLS) cuando se usa cifrado CBC. Este fallo fue solucionado en mayo en OpenSSL, pero es ahora cuando IBM ha reconocido el problema y aplicado solución en la versión 8.0.0.5 o 7.1.2.9 del producto.
IBM Tivoli Storage Manager FastBack también hereda un problema de cross site scripting (CVE-2012-2161) de otro producto de IBM que integra, Eclipse Help System que fue solucionado en junio. Se soluciona en la versión 6.3.1.0.

http://unaaldia.hispasec.com/2012/12/multiples-vulnerabilidades-en-productos.html Fuente