2024-2543: IBM Storage (Spectrum) Protect Plus: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2024-09-25 16:07)

Neues Advisory

Betroffene Software

Datensicherung
Server

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, beliebigen Programmcode mit den Rechten des betroffenen Dienstes auszuführen, einen Cross-Site-Scripting (XSS)-Angriff durchzuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und nicht spezifizierte Angriffe durchzuführen. Ein Angreifer kann mehrere Schwachstellen im benachbarten Netzwerk ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen. Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, eine Integritätsverletzung zu verursachen, Privilegien zu eskalieren, auf unsicher erzeugte temporäre Dateien zuzugreifen, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und nicht spezifizierte Angriffe durchzuführen. Ein Angreifer mit physischem Zugriff auf ein betroffenes System kann eine Schwachstelle ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

IBM informiert darüber, dass IBM Spectrum Protect Plus in den Versionen 10.1.0 bis 10.1.16.2 von den Schwachstellen betroffen ist und hat das Release 10.1.16.3 für Linux als Sicherheitsupdate zur Verfügung gestellt.


Aufgrund der Umstrukturierung der CVE-Vergabe im Linux-Kernel gibt es ein stark erhöhtes Aufkommen von Linux-Schwachstellen. Dies liegt daran, dass wesentlich mehr Patches als Schwachstellen registriert werden, und bedeutet nicht, dass der Kernel tatsächlich angreifbarer wurde. In den Schwachstelleninformationen des DFN-CERT werden deshalb, bei umfangreicheren Kernel-Updates wie diesem, nur noch bis zu 10 der schwerwiegendsten behobenen Schwachstellen beschrieben. Kritische Schwachstellen werden immer beschrieben. In den Referenzen befinden sich nur noch die NVD-Einträge der von uns beschriebenen Schwachstellen. Eine vollständige Liste aller behobenen Schwachstellen findet sich im Hersteller-Advisory in den Referenzen.

Schwachstellen:

CVE-2019-10768

Schwachstelle in AngularJS ermöglicht Manipulation von Dateien

CVE-2020-7676

Schwachstelle in AngularJS ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-47171

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2022-25869

Schwachstelle in AngularJS ermöglicht Cross-Site-Scripting-Angriff

CVE-2023-1513

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2023-26116

Schwachstelle in AngularJS ermöglicht Denial-of-Service-Angriff

CVE-2023-26117

Schwachstelle in AngularJS ermöglicht Denial-of-Service-Angriff

CVE-2023-26118

Schwachstelle in AngularJS ermöglicht Denial-of-Service-Angriff

CVE-2023-28319

Schwachstelle in curl und libcurl ermöglicht Ausspähen von Informationen

CVE-2023-28320

Schwachstelle in curl und libcurl ermöglicht Denial-of-Service-Angriff

CVE-2023-28321

Schwachstelle in curl und libcurl ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-28322

Schwachstelle in libcurl ermöglicht u. a. Ausspähen von Informationen

CVE-2023-29483

Schwachstelle in Eventlet und dnspython ermöglicht Denial-of-Service-Angriff

CVE-2023-31083

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2023-32695

Schwachstelle in Node.js Modul ermöglicht Denial-of-Service-Angriff

CVE-2023-38545

Schwachstelle in curl und libcurl ermöglicht u. a. Denial-of-Service-Angriff

CVE-2023-38546

Schwachstelle in libcurl ermöglicht Privilegieneskalation

CVE-2023-46218

Schwachstelle in curl ermöglicht Ausspähen von Informationen

CVE-2023-46219

Schwachstelle in curl ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-5090

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2023-51779

Schwachstelle in Linux-Kernel ermöglicht möglicherweise Ausspähen von Informationen oder Denial-of-Service-Angriff

CVE-2023-51780

Schwachstelle in Linux-Kernel ermöglicht möglicherweise Ausspähen von Informationen oder Denial-of-Service-Angriff

CVE-2023-52464

Schwachstelle in Linux-Kernel ermöglicht Zugriff auf unsicher erzeugte temporäre Dateien

CVE-2023-52513

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2023-52520

Schwachstelle in Linux-Kernel ermöglicht u. a. Ausspähen von Informationen

CVE-2023-52565

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2023-52574

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2023-52578

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2023-52581

Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-52594

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2023-52595

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2023-52610

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2023-52615

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2023-52620

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2023-52667

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2023-52881

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2023-5868

Schwachstelle in PostgreSQL ermöglicht Ausspähen von Informationen

CVE-2023-5869

Schwachstelle in PostgreSQL ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-5870

Schwachstelle in PostgreSQL ermöglicht Denial-of-Service-Angriff

CVE-2023-6004

Schwachstelle in Bibliothek libssh ermöglicht eine Code-Injection

CVE-2023-6918

Schwachstelle in Bibliothek libssh und libssh2 ermöglicht Denial-of-Service-Angriff

CVE-2024-0985

Schwachstelle in PostgreSQL ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2024-24787

Schwachstelle in Go ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-24788

Schwachstelle in Go ermöglicht Denial-of-Service-Angriff

CVE-2024-25710

Schwachstelle in Apache Commons Compress ermöglicht Denial-of-Service-Angriff

CVE-2024-25742

Schwachstelle in Linux-Kernel und AMD Prozessoren ermöglicht Ausspähen von Informationen

CVE-2024-25743

Schwachstelle in Linux-Kernel und AMD Prozessoren ermöglicht Ausspähen von Informationen

CVE-2024-26308

Schwachstelle in Apache Commons Compress ermöglicht Denial-of-Service-Angriff

CVE-2024-26583

Schwachstelle in Linux-Kernel ermöglicht eventuell Denial-of-Service-Angriff

CVE-2024-26584

Schwachstelle in Linux-Kernel ermöglicht eventuell nicht spezifizierte Angriffe

CVE-2024-26585

Schwachstelle in Linux-Kernel ermöglicht eventuell Denial-of-Service-Angriff

CVE-2024-26593

Schwachstelle in Linux-Kernel ermöglicht eventuell u. a. Denial-of-Service-Angriff

CVE-2024-26610

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2024-26642

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2024-26643

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2024-26659

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2024-26664

Schwachstelle in Linux-Kernel ermöglicht u.a. Denial-of-Service-Angriff

CVE-2024-26671

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2024-26675

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2024-26693

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2024-26694

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2024-26735

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2024-26743

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2024-26744

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2024-26759

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2024-26779

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2024-26801

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2024-26804

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2024-26859

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2024-26901

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2024-26907

Schwachstelle in Linux-Kernel ermöglicht nicht spezifizierte Angriffe

CVE-2024-26973

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2024-26974

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2024-27014

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2024-27052

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2024-27056

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2024-27397

Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-35789

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2024-35854

Schwachstelle in IBM Spectrum Protect Plus und Linux-Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-4068

Schwachstelle in braces ermöglicht Denial-of-Service-Angriff

CVE-2024-4317

Schwachstelle in PostgreSQL ermöglicht Ausspähen von Informationen

CVE-2024-7348

Schwachstelle in PostgreSQL ermöglicht Ausführen beliebigen Programmcodes

IBM-X-FORCE-ID-220769

Schwachstelle in AngularJS ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.