2021-0852: IBM Spectrum Protect Plus: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-04-26 16:32): Neues Advisory

Betroffene Software

Datensicherung
Server

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Cross-Site-Scripting (XSS)-Angriff und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen und beliebigen Programmcode auszuführen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers.

IBM informiert über die Schwachstellen in IBM Spectrum Protect Plus in den Versionen 10.1.0 bis 10.1.7 und stellt IBM Spectrum Protect Plus 10.1.8 als Sicherheitsupdate für Linux bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2020-13936

Schwachstelle in Apache Velocity Engine ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-13956

Schwachstelle in Apache HttpComponents HttpClient ermöglicht u. a. Manipulation von Daten

CVE-2020-13959

Schwachstelle in Apache Velocity Tools ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-25659

Schwachstelle in Python Cryptography Modul ermöglicht Ausspähen von Informationen

CVE-2020-28458

Schwachstelle in datatables.net ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-20536

Schwachstelle in IBM Spectrum Protect Plus ermöglicht Ausspähen von Informationen

CVE-2021-21315

Schwachstelle in Apache and Node.js ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-29694