2020-1275: IBM Spectrum Protect Server: Mehrere Schwachstellen ermöglichen u. a. die Eskalation von Privilegien

Historie:

Version 1 (2020-06-15 14:15): Neues Advisory
Version 2 (2020-08-13 10:48): IBM informiert darüber, dass auch IBM Spectrum Protect Server 7.1.0.000 bis inklusive 7.1.10 von den Schwachstellen in IBM Db2 betroffen ist. Für AIX, Linux, Solaris, HP-UX und Windows steht IBM Spectrum Protect Server 7.1.11.000 als Sicherheitsupdate zur Verfügung.

Betroffene Software

Datensicherung
Netzwerk

Betroffene Plattformen

HP
IBM
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten Angreifer, in einem Fall mit üblichen Benutzerrechten, das Durchführen verschiedener Denial-of-Service (DoS)-Angriffe, das Umgehen von Sicherheitsvorkehrungen und die Manipulation von Dateien. Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers und kann Einfluss auf andere Komponenten betroffener Systeme haben. Eine Schwachstelle ermöglicht einem lokalen Angreifer die Ausführung beliebigen Programmcodes mit 'root'-Rechten. Eine weitere Schwachstelle ermöglicht einem solchen Angreifer mit erweiterten Rechten die Eskalation von Privilegien.

IBM informiert über die Schwachstellen in IBM Spectrum Protect Server in den Versionen 7.1.0.0 bis 7.1.9.300 und 8.1.0.0 bis 8.1.9.300 und stellt die Versionen 7.1.10.000 und 8.1.10.000 als Sicherheitsupdates bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2019-16276

Schwachstelle in Google Go (golang) ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-2989

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Manipulation von Daten

CVE-2020-4135

Schwachstelle in IBM Db2 ermöglicht Denial-of-Service-Angriff

CVE-2020-4200