domingo, 13 de abril de 2014

Divulgación de contraseñas en IBM SPSS Analytic Server

Se ha confirmado una vulnerabilidad en IBM SPSS Analytic Server que podría permitir a usuarios autenticados obtener todas las contraseñas. 

IBM SPSS Analytic Server es un paquete que pertenece a la familia SPSS, un programa estadístico informático muy usado en las ciencias sociales y las empresas de investigación de mercado.

El problema, con CVE-2014-0920, reside en que IBM SPSS Analytic Server escribe las contraseñas en texto plano en archivos de "log", de tal forma que cualquier usuario autenticado puede obtener dichas contraseñas.  

IBM ha publicado actualizaciones para corregir este problema, IBM SPSS Analytic Server 1.0.0.0 Interim Fix 002 y 1.0.1.0 Interim Fix 004, disponibles desde
http://www.ibm.com/support/docview.wss?uid=swg24037298

Más información:

Security Bulletin: Password displayed in plaintext in logs (CVE-2014-0920)
http://www-01.ibm.com/support/docview.wss?uid=swg21669506

IBM SPSS Analytic Server 1.0.0.0 Interim Fix 002 and 1.0.1.0 Interim Fix 004
http://www-01.ibm.com/support/docview.wss?uid=swg24037298


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017