IBM a dezvăluit o vulnerabilitate în software-ul său Aspera Shares, identificată ca CVE-2023-38018. Această vulnerabilitate poate permite atacatorilor să se dea drept orice utilizator din sistem, prezentând un risc de securitate semnificativ pentru organizațiile care utilizează acest software pentru transferul de date.
TL;DR
- Vulnerabilitate: CVE-2023-38018 în IBM Aspera Shares
- Severitate: Scor CVSS de 6.3 (moderat)
- Impact: Permite atacatorilor să se autentifice ca alți utilizatori
- Versiuni afectate: 0.0.0 – 1.10.0 PL2
- Soluție: Actualizare la versiunea 1.10.0 PL3
Detalii despre vulnerabilitate
Vulnerabilitatea, identificată ca CVE-2023-38018, rezultă din incapacitatea IBM Aspera Shares de a invalida sesiunile utilizatorilor după o schimbare a parolei. Această deficiență permite unui utilizator autentificat să se conecteze ca orice alt utilizator din sistem.
Conform evaluării CVSS, această vulnerabilitate are un scor de bază de 6.3, ceea ce indică o severitate moderată. Vectorul detaliat CVSS este (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L), subliniind ușurința cu care poate fi exploatată într-un mediu de rețea cu complexitate scăzută a atacului.
Produse și versiuni afectate
Următoarele versiuni ale IBM Aspera Shares sunt afectate:
- Versiuni: 0.0.0 – 1.10.0 PL2
Această problemă subliniază importanța crucială a protocoalelor robuste de gestionare a sesiunilor în aplicațiile software, în special cele care gestionează transferuri de date sensibile.
Soluția IBM și recomandări
IBM a abordat prompt această vulnerabilitate prin lansarea unui patch. Utilizatorii IBM Aspera Shares sunt sfătuiți să actualizeze la versiunea 1.10.0 PL3 pentru a reduce riscul. Patch-ul este disponibil atât pentru platformele Linux, cât și pentru Windows.
În acest moment, nu există soluții alternative sau metode de atenuare disponibile. Prin urmare, aplicarea corecției furnizate este esențială pentru a asigura securitatea sistemelor afectate.
Recomandări pentru utilizatori
IBM încurajează utilizatorii să se aboneze la “My Notifications” pentru a primi actualizări la timp despre buletinele de securitate și alertele de suport pentru produse. Această abordare proactivă poate ajuta organizațiile să evite vulnerabilitățile potențiale și să securizeze sistemele lor.
Sursa articolului:
https://cybersecuritynews.com/ibm-aspera-shares-vulnerability/