DFN-CERT

Advisory-Archiv

2021-2580: IBM Spectrum Protect Plus: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-12-13 16:06)
Neues Advisory

Betroffene Software

Datensicherung
Server

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen in IBM Spectrum Protect Plus und den enthaltenen Komponenten Node.js, Color-String und PostgreSQL aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Cross-Site-Scripting (XSS)-Angriff und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

IBM informiert über Schwachstellen in IBM Spectrum Protect Plus in den Versionen 10.1.0.0 bis 10.1.8.x und stellt IBM Spectrum Protect Plus 10.1.9 als Sicherheitsupdate für Linux bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2020-28469

Schwachstelle in nodejs-glob-parent ermöglicht Denial-of-Service-Angriff

CVE-2020-4496

Schwachstelle in IBM Spectrum Protect Plus ermöglicht Ausspähen von Informationen

CVE-2021-22930

Schwachstelle in Node.js ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-22931

Schwachstelle in Node.js ermöglicht u. a. Cross-Site-Scripting-Angriff

CVE-2021-22939

Schwachstelle in Node.js ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-22940

Schwachstelle in Node.js ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-23368

Schwachstelle in postcss ermöglicht Denial-of-Service-Angriff

CVE-2021-29060

Schwachstelle in Color-String ermöglicht Denial-of-Service-Angriff

CVE-2021-32027

Schwachstelle in PostgreSQL ermöglicht u. a. Manipulation von Daten

CVE-2021-32028

Schwachstelle in PostgreSQL ermöglicht u. a. Ausspähen von Informationen

CVE-2021-33502

Schwachstelle in Node.js ermöglicht Denial-of-Service-Angriff

CVE-2021-35065

Schwachstelle in Node.js ermöglicht Denial-of-Service-Angriff

CVE-2021-39057

Schwachstelle in IBM Spectrum Protect Plus ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2021-39063

Schwachstelle in IBM Spectrum Protect Plus ermöglicht u. a. Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.