2021-0862: IBM Spectrum Protect Produkte: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2021-04-26 17:31)
- Neues Advisory
- Version 2 (2021-04-27 11:53)
- BM informiert über die Schwachstelle CVE-2020-27221 in IBM Spectrum Protect Snapshot für Db2, Custom Applications, Oracle und Oracle with SAP auf AIX und Linux Plattformen in den Versionen 8.1.0.0 bis 8.1.11.0 und stellt zu deren Behebung das Release 8.1.11.1 als Sicherheitsupdate zur Verfügung.
- Version 3 (2021-06-15 11:56)
- IBM informiert darüber, dass auch IBM Spectrum Protect Backup-Archive Client und IBM Spectrum Protect for Virtual Environments: Data Protection for VMware jeweils in Version 7.1.0.0 bis inklusive 7.1.8.10 sowie IBM Spectrum Protect for Virtual Environments: Data Protection for Hyper-V Version 7.1.0.0 bis inklusive 7.1.8.x jeweils auf verschiedenen Plattformen von den Schwachstellen betroffen sind und stellt zu deren Behebung das Release 7.1.8.11 als Sicherheitsupdate zur Verfügung.
- Version 4 (2021-06-16 09:27)
- IBM aktualisiert seinen Sicherheitshinweis 6445497 ebenfalls dahingehend, dass IBM Spectrum Protect Backup-Archive Client und IBM Spectrum Protect for Space Management in den Versionen 7.1.0.0 bis einschließlich 7.1.8.10 von den Schwachstellen CVE-2021-29672 und CVE-2021-20546 betroffen sind. Als Sicherheitsupdate steht jeweils die Version 7.1.8.11 zur Behebung der Schwachstellen zur Verfügung. Weiterhin ist IBM Spectrum Protect Snapshot for VMware in den Versionen 4.1.0.0 bis einschließlich 4.1.6.11 von den Schwachstellen CVE-2020-27221 und CVE-2020-14782 betroffen und die Version 4.1.6.12 steht als Sicherheitsupdate bereit, das die Scjwachstelle behebt.
- Version 5 (2021-06-28 12:04)
- Zur Behebung der Schwachstellen CVE-2020-27221 und CVE-2020-14782 wird für macOS der IBM Spectrum Protect Backup-Archive Client in Version 8.1.9.2 bereitgestellt.
Betroffene Software
Datensicherung
Netzwerk
Virtualisierung
Betroffene Plattformen
IBM
Apple
Linux
Microsoft
UNIX
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Privilegien zu eskalieren, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.
Der Hersteller informiert über die Schwachstellen in IBM Spectrum Protect Backup-Archive Client, IBM Spectrum Protect for Space Management und IBM Spectrum Protect for Virtual Environments: Data Protection for VMware und Data Protection for Hyper-V jeweils auf verschiedenen Plattformen und stellt zu deren Behebung das Release 8.1.12 als Sicherheitsupdate zur Verfügung.
Schwachstellen:
CVE-2020-13574
Schwachstelle in gSOAP ermöglicht Denial-of-Service-AngriffCVE-2020-13575
Schwachstelle in gSOAP ermöglicht Denial-of-Service-AngriffCVE-2020-13576
Schwachstelle in gSOAP ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-13577
Schwachstelle in gSOAP ermöglicht Denial-of-Service-AngriffCVE-2020-13578
Schwachstelle in gSOAP ermöglicht Denial-of-Service-AngriffCVE-2020-14782
Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Manipulation von DatenCVE-2020-1971
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2020-21783
Schwachstelle in gSOAP ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-27221
Schwachstelle in Eclipse OpenJ9 und IBM Java SDK ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-20532
Schwachstelle in IBM Spectrum Protect Client ermöglicht PrivilegieneskalationCVE-2021-20546
Schwachstelle in IBM Spectrum Protect Client ermöglicht Denial-of-Service-AngriffCVE-2021-23840
Schwachstelle in OpenSSL ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-23841
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2021-29672
Schwachstelle in IBM Spectrum Protect Client ermöglicht u. a. Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.