Koelman.IT

Stay Hungry, Stay Foolish 💡


Beveiligingsadvies NCSC-2024-0497 [1.00] [M/H] Kwetsbaarheden verholpen in IBM Cognos Analytics

Kwetsbaarheden Opgelost in IBM Cognos Analytics

IBM heeft significante kwetsbaarheden in IBM Cognos Analytics aangepakt. Deze kwetsbaarheden vonden hun oorsprong in onvoldoende validatie van bestandsindelingen, waardoor kwaadwillenden bestanden konden uploaden met potentieel schadelijke code. Dit vormt een serieus risico voor de integriteit en beveiliging van systemen en gegevens.

Daarnaast is er een specifieke kwetsbaarheid die externe aanvallers in staat stelt om Expression Language statements te manipuleren, die toegang kunnen geven tot gevoelige informatie, het uitputten van geheugenbronnen, of zelfs servercrashes kunnen veroorzaken.

Details van de Kwetsbaarheden

Kenmerken van de Kwetsbaarheden:

  1. Onbeperkte Bestandsupload met Gevaarlijk Type: Deze kwetsbaarheid maakt het mogelijk voor aanvallers om zonder restricties bestanden te uploaden, wat kan leiden tot de injectie en uitvoering van schadelijke code.

  2. Onjuiste Neutralisatie van Speciale Elementen in een Taaluitdrukking (‘Expression Language Injection’): Deze kwetsbaarheid kan worden misbruikt om beveiligingslacunes te exploiteren door middel van expressie-injectie, wat kan resulteren in datalekken of serviceonderbrekingen.

Kwetsbare Systemen en Versies

De getroffen producten en versies omvatten IBM Cognos Analytics en IBM Planning Analytics, met de versies:

  • Versies 11.2.0 tot 11.2.4
  • Versies 12.0.0 tot 12.0.4
  • Versie 2.0

Oplossingen en Updates

IBM heeft updates uitgebracht die deze kwetsbaarheden adresseren. Gebruikers van de betrokken versies wordt sterk aangeraden zo snel mogelijk hun systemen bij te werken met de door IBM verstrekte patches. Verdere details over de updates zijn te vinden via de IBM support pagina.

CVE-Referenties

Waarborgen voor Gebruik

Het gebruik van dit beveiligingsadvies houdt in dat u instemt met de volgende voorwaarden. Ondanks dat het NCSC de uiterste zorg heeft betracht bij het samenstellen van dit beveiligingsadvies, kan het NCSC niet garanderen dat de informatie volledig, juist of actueel is. De inhoud van dit advies is bedoeld als algemene informatie voor professionele partijen en biedt geen juridische rechten.

Noch het NCSC noch de Staat is aansprakelijk voor enige schade die voortvloeit uit het gebruik van, of de onmogelijkheid om gebruik te maken van, dit beveiligingsadvies. Dit omvat schade als gevolg van onjuistheden of onvolledigheden in de gegeven informatie. Op dit beveiligingsadvies is het Nederlands recht van toepassing, en eventuele geschillen worden behandeld door de bevoegde rechtbank in Den Haag.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----