IBM ha
publicado una actualización para solucionar una vulnerabilidad en IBM Endpoint
Manager Mobile Device Management (MDM) que podría
permitir la ejecución remota de código.
IBM Endpoint Manager Mobile
Device Management forma parte de la familia de productos IBM Endpoint Manager (antiguamente
conocido como Tivoli Endpoint Manager). Proporciona herramientas para la
administración, protección y presentación de informes de ordenadores portátiles,
de escritorio, servidores, teléfonos inteligentes, tabletas y otros dispositivos
como terminales de punto de venta. Esto proporciona información y control en
tiempo real sobre todos los dispositivos utilizados por los usuarios.
El problema (con CVE-2014-6140) reside en que los
componentes de IBM Endpoint Manager están basados en Ruby on Rails y usan
valores estáticos de secret_token. Con estos valores, un atacante puede crear
cookies de sesión válidas que contengan objetos serializados de su elección. Esto
podría ser empleado para ejecutar código arbitrario cuando Ruby on Rails
deserialice la cookie.
Se ven afectadas las versiones 8.1,
8.2, 9.0. IBM ha publicado la versión 9.0.60100 que soluciona el problema.
Más información:
Unauthenticated Remote Code Execution in IBM
Endpoint Manager Mobile Device Management Components
Security Bulletin: Unauthenticated Remote Code
Execution in IBM Endpoint Manager Mobile Device Management (CVE-2014-6140)
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario