2018-1048: IBM Spectrum Protect (Tivoli Storage Manager), IBM Security Access Manager, GSKit: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen
Historie:
- Version 1 (2018-05-31 19:44)
- Neues Advisory
- Version 2 (2018-06-07 19:36)
- IBM bestätigt die Schwachstellen für IBM Spectrum Protect for Virtual Environments: Data Protection for Hyper-V in den Versionen 7.1.0.0 bis 7.1.8.0 und 8.1.0.0 bis 8.1.4.0. Als Sicherheitsupdates stehen die Versionen 7.1.8.2 und 8.1.4.2 für Windows zur Verfügung.
- Version 3 (2018-10-25 18:51)
- IBM bestätigt die Schwachstellen für Security Access Manager Software und Appliances. Für IBM Security Access Manager for Web (software / appliance) 7.0 - 7.0.0.34 steht jeweils der Interim Fix 35 bereit. Für IBM Security Access Manager for Web / Mobile (appliance) 8.0 - 8.0.1.7 steht die Version 8.0.1.8 und für IBM Security Access Manager (appliance) 9.0 - 9.0.4.0 die Version 9.0.5.0 als Sicherheitsupdates zur Verfügung. Ausführliche Informationen zur Installation finden sich im IBM Security Bulletin 2016890 (siehe Referenzen).
Betroffene Software
Datensicherung
Netzwerk
Sicherheit
Virtualisierung
Betroffene Plattformen
Hardware
Netzwerk
IBM
Microsoft
Beschreibung:
Mehrere Schwachstellen im GSKit, welches in IBM Spectrum Protect for Workstations (ehemals Tivoli Storage Manager for Workstations) verwendet wird, ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung eines Denial-of-Service (DoS)-Angriffs, das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen sowie das unsichere Erzeugen von temporären Dateien. Mehrere weitere Schwachstellen ermöglichen einem lokalen, nicht authentisierten Angreifer einen Denial-of-Service (DoS)-Angriff sowie das Ausspähen von Informationen.
IBM informiert über die Schwachstellen in IBM Spectrum Protect for Workstations 7.1.0.0 bis 7.1.8.1 und 8.1.0.0 bis 8.1.2.0 und stellt die Versionen 7.1.8.2 und 8.1.2.1 als Sicherheitsupdates zum Download über IBM Fix Central bereit.
Der Hersteller empfiehlt aufgrund von CVE-2018-1447 das 'Re-Stashing' von betroffenen Passworten und stellt dazu ein Informationsdokument zur Verfügung (Referenz anbei).
Schwachstellen:
CVE-2016-0702
Schwachstelle in OpenSSL ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2016-0705
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2017-3732
Schwachstelle in OpenSSL ermöglicht Ausspähen von InformationenCVE-2017-3736
Schwachstelle in OpenSSL ermöglicht Ausspähen von InformationenCVE-2018-1426
Schwachstelle in IBM GSKit ermöglicht unsicheres Erzeugen von temporären DateienCVE-2018-1427
Schwachstelle in IBM GSKit ermöglicht Denial-of-Service-AngriffCVE-2018-1428
Schwachstelle in IBM GSKit ermöglicht Ausspähen von InformationenCVE-2018-1447
Schwachstelle in IBM GSKit ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.