ACTUALIZACION PARA SOLUCIONAR VULNERABILIDAD EN IBM ENDPOINT MANAGER MOBILE DEVICE MANAGEMENT (MDM)
IBM ha publicado una actualización para solucionar una vulnerabilidad en
IBM Endpoint Manager Mobile Device Management (MDM) que podría permitir
la ejecución remota de código.
IBM Endpoint Manager Mobile Device Management forma parte de la familia
de productos IBM Endpoint Manager (antiguamente conocido como Tivoli
Endpoint Manager). Proporciona herramientas para la administración,
protección y presentación de informes de ordenadores portátiles, de
escritorio, servidores, teléfonos inteligentes, tabletas y otros
dispositivos como terminales de punto de venta. Esto proporciona
información y control en tiempo real sobre todos los dispositivos
utilizados por los usuarios.
El problema (con CVE-2014-6140) reside en que los componentes de IBM
Endpoint Manager están basados en Ruby on Rails y usan valores estáticos
de secret_token. Con estos valores, un atacante puede crear cookies de
sesión válidas que contengan objetos serializados de su elección. Esto
podría ser empleado para ejecutar código arbitrario cuando Ruby on Rails
deserialice la cookie.
Se ven afectadas las versiones 8.1, 8.2, 9.0. IBM ha publicado la
versión 9.0.60100 que soluciona el problema.
Ver información original en FUENTE:
http://unaaldia.hispasec.com/2014/12/ejecucion-remota-de-codigo-en-ibm-ibm.html
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.