2020-0577: IBM Spectrum Protect, IBM Java SDK: Zwei Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2020-03-20 09:00)

Neues Advisory

Version 2 (2020-08-13 10:03)

IBM informiert darüber, dass auch IBM Spectrum Protect Server 8.1.0.0 bis inklusive 8.1.9 und 7.1.0.000 bis inklusive 7.1.10 von den Schwachstellen betroffen ist und stellt die Versionen 7.1.11.000 und 8.1.10.000 als Sicherheitsupdates zur Verfügung.

Betroffene Software

Datensicherung
Netzwerk
Virtualisierung

Betroffene Plattformen

HP
IBM
Apple
Linux
Microsoft
UNIX

Beschreibung:

Eine Schwachstelle ermöglicht einem lokalen Angreifer mit erweiterten Rechten die Ausführung beliebigen Programmcodes. Eine weitere Schwachstelle ermöglicht einem entfernten Angreifer die Manipulation von Dateien. Erfolgreiche Angriffe erfordern die Interaktion eines Benutzers und können Einfluss auf andere Komponenten betroffener Systeme haben.

Die beiden Schwachstellen in Java betreffen auch IBM Spectrum Protect Backup-Archive Client auf Windows und Macintosh in den Versionen 8.1.0.0 bis 8.1.9.0 und 7.1.0.0 bis 7.1.8.8 sowie IBM Spectrum Protect Backup-Archive Client Web User Interface in den Versionen 8.1.0.0 bis 8.1.9.0 auf Linux und Windows-Systemen und Version 8.1.9.0 auf AIX-Systemen. IBM stellt die Versionen 8.1.9.1 und 7.1.8.8 für Windows und Macintosh sowie Version 8.1.9.1 für AIX als Sicherheitsupdates zur Verfügung. Ebenfalls betroffen sind IBM Spectrum Protect for Virtual Environments: Data Protection for VMware in den Versionen 7.1.0.0 bis 7.1.8.7 und 8.1.0.0 bis 8.1.9.0 auf Linux und Windows-Systemen sowie Data Protection for Hyper-V in den Versionen 7.1.0.0 bis 7.1.8.x und 8.1.0.0 bis 8.1.9.0 auf Windows-Systemen. IBM stellt die Versionen 7.1.8.8 und 8.1.9.1 für IBM Spectrum Protect for Virtual Environments: Data Protection for VMware und for Hyper-V zur Verfügung. Darüber hinaus ist IBM Spectrum Protect for Space Management Version 8.1.9.0 betroffen. IBM stellt hier die Version 8.1.9.1 bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2019-2989

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Manipulation von Daten

CVE-2019-4732

Schwachstelle in IBM Java SDK ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.