Se han identificado 4 vulnerabilidades en IBM MQ (middleware de mensajería), de severidades altas y medias, que podrían ser aprovechadas por actores maliciosos para provocar una denegación de servicio (DoS) o evadir restricciones de seguridad, comprometiendo la integridad del sistema.
Productos Afectados
IBM MQ Operator:
- SC2 : v3.2.0, v3.2.1, v3.2.2 – (anteriormente LTS)
- CD: v3.0.0, v3.0.1, v3.1.0 – 3.1.3
- LTS: v2.0.0 – 2.0.24
- Otros lanzamientos: v2.4.0 – v2.4.8, v2.3.0 – 2.3.3, v2.2.0 – v2.2.2
Impacto
CVE-2024-21626: Con una puntuación en CVSSv3 de 8.6, de severidad alta. Esta vulnerabilidad compromete la seguridad de los contenedores, permitiendo a atacantes escalar privilegios y comprometer sistemas enteros.
CVE-2024-25062: Con una puntuación en CVSSv3 de 7.5, de severidad alta. Esta vulnerabilidad permite a un atacante remoto provocar un denegación de servicio (DoS) al enviar un documento XML.
CVE-2024-26461: Esta vulnerabilidad hace que Kerberos 5 consuma más memoria de la necesaria, lo que puede causar problemas en el funcionamiento del sistema.
CVE-2024-28180: Con una puntuación en CVSSv3 de 4.3, de severidad media. Esta vulnerabilidad permite a un atacante enviar un JWE (JavaScript Web Encryption) que contiene datos comprimidos de manera que, al ser descomprimidos, consuman excesiva memoria y CPU.
Recomendación
- Actualizar a la última versión de los productos afectados, descargandolos desde el sitio web oficial.
Referencias
https://www.ibm.com/support/pages/node/7162095