IBM biztonsági frissítések


2017. október 4. 12:39

CH azonosító

CH-14255

Angol cím

IBM Security Bulletin

Felfedezés dátuma

2017.10.02.

Súlyosság

Magas

Érintett rendszerek

IBM

Érintett verziók

IBM Spectrum Protect (korábbi Tivoli Storage Manager) Client
8.1.0.0 verziótól 8.1.1.x verzióig
7.1.0.0 verziótól 7.1.7.x verzióig
6.4 és a korábbi EOS verziók
IBM Spectrum Protect (korábbi Tivoli Storage Manager) Server
8.1.0.0 verziótól 8.1.1.x verzióig
7.1.0.0 verziótól 7.1.7.x verzióig
6.3 és a korábbi EOS verziók
Note that 6.4 shipped with 6.3 servers
IBM Spectrum Protect for Virtual Environments (korábbi Tivoli Storage Manager for Virtual Environments): Data Protection for VMware
8.1.0.0 verziótól 8.1.1.x verzióig
7.1.0.0 verziótól 7.1.7.x verzióig
6.4 és a korábbi EOS verziók
IBM Spectrum Protect for Virtual Environments (korábbi Tivoli Storage Manager for Virtual Environments): Data Protection for Hyper-V
8.1.0.0 verziótól 8.1.1.x verzióig
7.1.0.0 verziótól 7.1.7.x verzióig
IBM Spectrum Protect for Space Management (korábbi Tivoli Storage Manager for Space Management)
8.1.0.0 verziótól 8.1.1.x verzióig
7.1.0.0 verziótól 7.1.7.x verzióig
6.4 és a korábbi EOS verziók
IBM Spectrum Protect HSM for Windows (korábbi Tivoli Storage Manager HSM for Windows)
8.1.0.0 verziótól 8.1.1.x verzióig
7.1.0.0 verziótól 7.1.7.x verzióig
6.4 és a korábbi EOS verziók

Összefoglaló

Az IBM több termékével kapcsolatban adott ki biztonsági frissítéseket, melyek több magas és közepes kockázati besorolású biztonsági hibát javítanak.

Leírás

Az IBM Spectrum Protect autentikációs hibája miatt, egy offline támadónak lehetősége nyílik a jogosultsági szintjének kiterjesztésére.  

Az Apache HTTP Servernek küldött speciális OPTIONS HTTP kérésekkel a támadó információ szivárgást idézhet elő.

Tivoli Network Manager IP Edition Apache CXF komponensének sérülékenységét kihasználva adatszivárgást érhet el a támadó.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Authentication Issues (Hitelesítés)
Directory Traversal (könyvtárkeresztezéses támadás)
Information disclosure (Információ/adat szivárgás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)
Physical/Console (Fizikai/konzol)
Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.ibm.com
Gyártói referencia: www-01.ibm.com
Gyártói referencia: www-01.ibm.com
CVE-2016-8937 - NVD CVE-2016-8937
CVE-2017-9798 - NVD CVE-2017-9798
CVE-2017-3156 - NVD CVE-2017-3156

Legfrissebb sérülékenységek
CVE-2025-24085 – Apple Multiple Products Use-After-Free sebezhetősége
CVE-2025-23006 – SonicWall SMA1000 Appliances Deserialization sebezhetősége
CVE-2024-3393 – Palo Alto Networks PAN-OS Malicious DNS Packet sebezhetősége
CVE-2025-0282 – Ivanti Connect Secure, Policy Secure, and ZTA Gateways Stack-Based Buffer Overflow sebezhetősége
CVE-2023-48365 – Qlik Sense HTTP Tunneling sebezhetősége
CVE-2024-12686 – BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) OS Command Injection sebezhetősége
CVE-2024-55591 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége
CVE-2024-50603 – Aviatrix Controllers OS Command Injection sebezhetősége
CVE-2020-11023 – JQuery Cross-Site Scripting (XSS) sebezhetősége
CVE-2025-21395 – Microsoft Access Remote Code Execution sebezhetősége
Tovább a sérülékenységekhez »