Vulnerabilidad en productos IBM

Fecha de publicación 22/02/2018

Importancia

4 - Alta

Recursos Afectados

IBM Transformation Extender Advanced 9.0
FTM de ACH Services v3.0.2, v3.0.3, v3.0.4, v3.1.0
FTM de CPS v3.0.2
IBM Multi-Enterprise Integration Gateway 1.0 - 1.0.0.1
IBM B2B Advanced Communications 1.0.0.2 - 1.0.0.6

Descripción

Se ha identificado una vulnerabilidad de severidad alta cuya explotación podría permitir a un atacante exponer información sensible o consumir recursos en los productos afectados.

Solución

Actualizar los productos afectados a las últimas versiones:

IBM Transformation Extender Advanced 9.0.0.8
FTM de ACH Services
- 3.0.2.1-FTM-ACH-MP-iFix0009 o superior
- 3.0.3.0-FTM-ACH-MP-iFix0005 o superior
- 3.0.4.1-FTM-ACH-MP-iFix0001 o superior
- 3.1.0-FTM-ACH-MP-fp0001 o superior
FTM de CPS 3.0.2.1-FTM-CPS-MP-iFix0009 o superior.
B2B_Advanced_Communications_V1.0.0.6_1_iFix_Media

Detalle

Los productos descritos en la sección recursos afectados son vulnerables a un ataque de Entidad Externa XML (XXE) en el procesamiento de archivos XML. Se ha reservado el identificador CVE-2017-1758 para esta vulnerabilidad.

Listado de referencias

Security Bulletin: IBM Transformation Extender Advanced is Potentially Vulnerable to an XML External Entity (XXE) Injection in its REST API

Security Bulletin: Financial Transaction Manager for ACH Services and Corporate Payment Services has a potential XML External Entity vulnerability (CVE-2017-1758)

Security Bulletin: IBM B2B Advanced Communications is Affected by an XML External Entity Injection (XXE) Attack when Processing XML Data

Etiquetas