IBM biztonsági frissítések


2017. október 4. 12:39

CH azonosító

CH-14255

Angol cím

IBM Security Bulletin

Felfedezés dátuma

2017.10.02.

Súlyosság

Magas

Érintett rendszerek

IBM

Érintett verziók

IBM Spectrum Protect (korábbi Tivoli Storage Manager) Client
8.1.0.0 verziótól 8.1.1.x verzióig
7.1.0.0 verziótól 7.1.7.x verzióig
6.4 és a korábbi EOS verziók
IBM Spectrum Protect (korábbi Tivoli Storage Manager) Server
8.1.0.0 verziótól 8.1.1.x verzióig
7.1.0.0 verziótól 7.1.7.x verzióig
6.3 és a korábbi EOS verziók
Note that 6.4 shipped with 6.3 servers
IBM Spectrum Protect for Virtual Environments (korábbi Tivoli Storage Manager for Virtual Environments): Data Protection for VMware
8.1.0.0 verziótól 8.1.1.x verzióig
7.1.0.0 verziótól 7.1.7.x verzióig
6.4 és a korábbi EOS verziók
IBM Spectrum Protect for Virtual Environments (korábbi Tivoli Storage Manager for Virtual Environments): Data Protection for Hyper-V
8.1.0.0 verziótól 8.1.1.x verzióig
7.1.0.0 verziótól 7.1.7.x verzióig
IBM Spectrum Protect for Space Management (korábbi Tivoli Storage Manager for Space Management)
8.1.0.0 verziótól 8.1.1.x verzióig
7.1.0.0 verziótól 7.1.7.x verzióig
6.4 és a korábbi EOS verziók
IBM Spectrum Protect HSM for Windows (korábbi Tivoli Storage Manager HSM for Windows)
8.1.0.0 verziótól 8.1.1.x verzióig
7.1.0.0 verziótól 7.1.7.x verzióig
6.4 és a korábbi EOS verziók

Összefoglaló

Az IBM több termékével kapcsolatban adott ki biztonsági frissítéseket, melyek több magas és közepes kockázati besorolású biztonsági hibát javítanak.

Leírás

Az IBM Spectrum Protect autentikációs hibája miatt, egy offline támadónak lehetősége nyílik a jogosultsági szintjének kiterjesztésére.  

Az Apache HTTP Servernek küldött speciális OPTIONS HTTP kérésekkel a támadó információ szivárgást idézhet elő.

Tivoli Network Manager IP Edition Apache CXF komponensének sérülékenységét kihasználva adatszivárgást érhet el a támadó.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Authentication Issues (Hitelesítés)
Directory Traversal (könyvtárkeresztezéses támadás)
Information disclosure (Információ/adat szivárgás)

Hatás

Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)
Physical/Console (Fizikai/konzol)
Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.ibm.com
Gyártói referencia: www-01.ibm.com
Gyártói referencia: www-01.ibm.com
CVE-2016-8937 - NVD CVE-2016-8937
CVE-2017-9798 - NVD CVE-2017-9798
CVE-2017-3156 - NVD CVE-2017-3156

Legfrissebb sérülékenységek
CVE-2026-22769 – Dell RecoverPoint for Virtual Machines (RP4VMs) Use of Hard-coded Credentials sérülékenység
CVE-2021-22175 – GitLab Server-Side Request Forgery (SSRF) sérülékenység
CVE-2008-0015 – Microsoft Windows Video ActiveX Control Remote Code Execution sérülékenység
CVE-2024-7694 – TeamT5 ThreatSonar Anti-Ransomware Unrestricted Upload of File with Dangerous Type sérülékenység
CVE-2020-7796 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery sérülékenység
CVE-2026-1731 – BeyondTrust Remote Support (RS) and Privileged Remote Access (PRA) OS Command Injection sérülékenység
CVE-2026-2441 – Google Chromium CSS Use-After-Free sérülékenysége
CVE-2025-40536 – SolarWinds Web Help Desk Security Control Bypass sérülékenység
CVE-2025-15556 – Notepad++ Download of Code Without Integrity Check sérülékenység
CVE-2024-43468 – Microsoft Configuration Manager SQL Injection sérülékenység
Tovább a sérülékenységekhez »