IBM Cognos Controller ve IBM Controller kurumsal yazılımlarında güvenlik boşlukları mevcuttur. Üretici şimdi bunları güncellenmiş paketlerle dolduruyor. BT yöneticileri bunları derhal kurmalıdır.
Duyuru
İlgili güvenlik danışma belgesinde IBM, açık kaynak bileşenleri de dahil olmak üzere üçüncü kişi satıcılar tarafından sağlanan yazılımların güvenlik açıkları içerdiğini açıklıyor. Güncelleme toplamda on güvenlik açığını kapatıyor. IBM'e göre güvenlik açıklarını azaltacak herhangi bir geçici önlem bulunmuyor; bu nedenle güncelleme zorunludur.
Yüksek riskli güvenlik açıkları
Güvenlik açıklarından sekizi orta düzeyde tehdit oluştururken IBM, ikisini yüksek riskli olarak sınıflandırıyor. Yetersiz sertifika doğrulaması nedeniyle yetkisiz kullanıcılar korunan kaynaklara (CVE-2024-40702, CVSS) erişebilir 8.2“Risk”yüksek“). IBM, saldırganların bu güvenlik açığını nasıl kötüye kullanabilecekleri veya bunun nasıl tespit edilebileceği konusunu ele almamaktadır.
Dahil edilen Axios istemcisi, “yolla ilgili” URL isteklerinin “protokolle ilgili URL'ler” olarak işlendiği bir hata nedeniyle Sunucu Tarafı İstek Sahteciliğine (SSRF) karşı savunmasızdır (CVE-2024-39338, CVSS) 7.5, yüksek).
Güvenlik açıklarını kapatan sürümler, IBM Controller 11.1.0.1 (IBM'in “Fix Central” sitesinden indirilir) ve IBM Cognos Controller 11.0.1 FP3'tür (IBM'in “Fix Central”inden indirilir). Bunlar aynı zamanda bulut devreye alımı için de mevcuttur, dolayısıyla ilgilenen tarafların güncelleme için IBM Destek'te bir destek vakası açması gerekir.
IBM Cognos Analytics'teki güvenlik açıkları en son 2022'de fark edildi. O zamanlar saldırganlar, güvenlik açıkları aracılığıyla kötü amaçlı kod enjekte edip çalıştırabiliyordu. O zaman bile eksikliklerin çoğundan üçüncü taraf yazılımları sorumluydu.
(Bilmiyorum)
Duyuru
İlgili güvenlik danışma belgesinde IBM, açık kaynak bileşenleri de dahil olmak üzere üçüncü kişi satıcılar tarafından sağlanan yazılımların güvenlik açıkları içerdiğini açıklıyor. Güncelleme toplamda on güvenlik açığını kapatıyor. IBM'e göre güvenlik açıklarını azaltacak herhangi bir geçici önlem bulunmuyor; bu nedenle güncelleme zorunludur.
Yüksek riskli güvenlik açıkları
Güvenlik açıklarından sekizi orta düzeyde tehdit oluştururken IBM, ikisini yüksek riskli olarak sınıflandırıyor. Yetersiz sertifika doğrulaması nedeniyle yetkisiz kullanıcılar korunan kaynaklara (CVE-2024-40702, CVSS) erişebilir 8.2“Risk”yüksek“). IBM, saldırganların bu güvenlik açığını nasıl kötüye kullanabilecekleri veya bunun nasıl tespit edilebileceği konusunu ele almamaktadır.
Dahil edilen Axios istemcisi, “yolla ilgili” URL isteklerinin “protokolle ilgili URL'ler” olarak işlendiği bir hata nedeniyle Sunucu Tarafı İstek Sahteciliğine (SSRF) karşı savunmasızdır (CVE-2024-39338, CVSS) 7.5, yüksek).
Güvenlik açıklarını kapatan sürümler, IBM Controller 11.1.0.1 (IBM'in “Fix Central” sitesinden indirilir) ve IBM Cognos Controller 11.0.1 FP3'tür (IBM'in “Fix Central”inden indirilir). Bunlar aynı zamanda bulut devreye alımı için de mevcuttur, dolayısıyla ilgilenen tarafların güncelleme için IBM Destek'te bir destek vakası açması gerekir.
IBM Cognos Analytics'teki güvenlik açıkları en son 2022'de fark edildi. O zamanlar saldırganlar, güvenlik açıkları aracılığıyla kötü amaçlı kod enjekte edip çalıştırabiliyordu. O zaman bile eksikliklerin çoğundan üçüncü taraf yazılımları sorumluydu.
(Bilmiyorum)