Omisión de autenticación en IBM Maximo Asset Management

Fecha de publicación 02/10/2020

Importancia

5 - Crítica

Recursos Afectados

IBM Maximo Asset Management, versiones 7.6.0 y 7.6.1.
Productos de soluciones industriales afectados en caso de utilizar una versión core afectada:
- Maximo para aviación;
- Maximo para ciencias;
- Maximo para energía nuclear;
- Maximo para petróleo y gas;
- Maximo para transporte;
- Maximo para utilidades.
Productos IBM Control Desk afectados en caso de utilizar una versión core afectada:
- SmartCloud Control Desk;
- IBM Control Desk;
- Tivoli Integration Composer.

Descripción

IBM ha publicado una vulnerabilidad de severidad crítica que podría permitir a un atacante la omisión de autenticación.

Solución

Aplicar el Interim Fix o el Fix Pack correspondiente al producto afectado:

Para la versión 7.6.1.2:
- aplicar Maximo Asset Management 7.6.1.2 Feature Pack 7.6.1.2-TIV-MAMMT-FP002 o el último Interim Fix disponible.
Para la versión 7.6.1.1:
- aplicar Maximo Asset Management 7.6.1.1 iFix 7.6.1.1-TIV-MBS-IFIX002 o el último Interim Fix disponible.
Para la versión 7.6.1.0:
- aplicar Maximo Asset Management 7.6.1.0 iFix 7.6.1.0-TIV-MBS-IFIX012 o el último Interim Fix disponible.
Para la versión 7.6.1.10:
- aplicar Maximo Asset Management 7.6.0.10 iFix 7.6.0.10-TIV-MBS-IFIX003 o el último Interim Fix disponible.

Detalle

Por medio de un comando HTTP especialmente diseñado, un atacante podría omitir la autenticación y ejecutar comandos. Se ha asignado el identificador CVE-2020-4493 para esta vulnerabilidad.

Listado de referencias

Security Bulletin: IBM Maximo Asset Management is vulnerable to Authentication Bypass (CVE-2020-4493)

Etiquetas