2018-0536: IBM Spectrum Protect: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen

Historie:

Version 1 (2018-03-19 17:32): Neues Advisory

Betroffene Software

Datensicherung
Netzwerk
Virtualisierung

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Zwei Schwachstellen in OpenSSL ermöglichen einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen und dadurch Ausspähen von Informationen. Diese Schwachstellen betreffen IBM Spectrum Protect (früher: Tivoli Storage Manager) Clients auf Linux und Windows in den Versionszweigen 6.4 und 7.1 sowie IBM Spectrum Protect for Virtual Environments (früher: Tivoli Storage Manager for Virtual Environments): Data Protection for VMware in den Versionszweigen 6.4, 7.1 und 8.1. Eine weitere Schwachstelle (CVE-2017-10356) in IBM Java Runtime Environment ermöglicht einem lokalen, nicht authentisierten Angreifer die Manipulation von Daten. Diese Schwachstelle betrifft IBM Spectrum Protect auf Mac OS X und Windows in den Versionszweigen 6.4, 7.1 und 8.1 (Client).

IBM stellt den Spectrum Protect Client für Mac OS X und Windows in der Version 8.1.4.1 sowie für Linux, Mac und Windows in der Version 7.1.8.2 zur Behebung der Schwachstellen zur Verfügung. Der Versionszweig 8.1 ist nicht von den Schwachstellen CVE-2017-3737 und CVE-2017-3738 betroffen. Für Spectrum Protect for Virtual Environments Data Protection for VMware stehen die Versionen 8.1.4.1 und 7.1.8.1 für Linux und Windows zur Verfügung. IBM empfiehlt allen Nutzern auf dem Versionszweig 6.4 ein Upgrade auf eines der genannten gepachten Releases, da dieser Versionszweig nicht weiter unterstützt wird.

Schwachstellen:

CVE-2017-10356

Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit ermöglicht Manipulation von Daten

CVE-2017-3737

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2017-3738