Tableau Software ha circulado un boletín de seguridad nivel medio con fecha 7/julio/2020 en donde indica que para ciertas versiones de Tableau Server se pudieron dejar expuestos datos sensibles sobre conexiones a fuentes de datos en los archivos LOG de Tableau Server.
Esto merece nuestra atención ya que eventualidades de seguridad se ven muy pocas veces en esta plataforma.
La categoría de esta vulnerabilidad se basa en los estándares Common Vulnerability Scoring System (CVSS) https://www.first.org/cvss/ y al ser de nivel medio no implica un alto riesgo. Sin embargo, es muy importante la corrección indicada por Tableau, consistiendo en 2 pasos:
- Actualización a la edición más reciente, lo cual no necesariamente implica migrar a la versión más reciente de Tableau.Por ejemplo, si el problema se presenta en la versión 1.25, no es necesario migrar hasta la versión 2020.2.x … es suficiente con actualizar a la versión 2018.1.26
- Regenerar las encripciones relaciondas con fuentes de información.Esto utilizando los siguientes comandos de Tableau Server:
- tsm security regenerate-internal-tokens
- tabcmd reencryptextracts
Si considera que sus credenciales de fuentes de información han sido expuestas, se recomienda, adicionalmente, cambiarlas.
La recomendación de Computing Resources para este boletín de seguridad, es seguir los siguientes pasos:
- Confirmar si la versión de Tableau Server con la que cuenta se incluye dentro de las que tienen la vulnerabilidad:
Versión con Vulnerabilidad Versión Corregida 10.5 hasta 10.5.28
2018.1 hasta 2018.1.25
2018.2 hasta 2018.2.22
2018.3 hasta 2018.3.19
2019.1 hasta 2019.1.17
2019.2 hasta 2019.2.13
2019.3 hasta 2019.3.9
2019.4 hasta 2019.4.8
2020.1 hasta 2020.1.5
2020.2 hasta 2020.2.2
10.5.29*
2018.1.26
2018.2.23
2018.3.20
2019.1.18
2019.2.14
2019.3.10
2019.4.9
2020.1.6
2020.2.3
*Importante tomar en cuenta que no todas las ediciones están disponibles en el sitio oficial de descargas de Tableau https://www.tableau.com/support/releases De ser necesario, abrir un caso de soporte en el portal de cliente de Tableau para solicitarla.
Para verificar la versión de Tableau Server puede dar click en el icono de información (
) , luego click en Acerca de Tableau Server
- De ser posible, migrar a la versión más reciente, tomando en cuenta los requerimientos mínimos de hardware y sistema operativo. De lo contrario, migrar a la edición más reciente dentro de la misma versión. Si necesita ayuda en su proceso de actualización de Tableau Server, puede comunicarse con Computing Resources al email: info@computingbi.com
- Asegurar una copia de los LOGs con posible vulnerabilidad y reiniciarlos por completo usando el comando tsm maintenance cleanup
Referencias
https://help.tableau.com/current/server/en-us/cli_security_tsm.htm#regenerate-tokens
https://help.tableau.com/current/server/en-us/tabcmd_cmd.htm#reencryptextracts_tabcmd
https://help.tableau.com/current/server/en-us/cli_maintenance_tsm.htm#cleanup