Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/07/01

Garrantzia: Kritikoa 

Kaltetutako baliabideak:  

• IBM Spectrum Protect Plus, 10.1.3 bertsioa eta lehenagokoak;
• IBM Spectrum Protect eta Storage Agents: 
  • 8.1.0.0 bertsiotik 8.1.7.xxx bertsiora bitartekoak;
  • 7.1.0.0 bertsiotik 7.1.9.200 bertsiora bitartekoak;
• IBM Cognos TM1, 10.2.2 bertsioa. 

Azalpena: 

IBMk hainbat ahultasun aurkitu ditu, horietatik bat larritasun kritikokoa, lau altukoak eta bat ertainekoa.

Konponbidea: 

• IBM Spectrum Protect Plus, 10.1.4 bertsiora eguneratzea;
• IBM Spectrum Protect eta Storage Agents:
  • 8.1 adarraren kasuan, 8.1.8 bertsiora eguneratzea; 
  • 7.1 adarraren kasuan, 7.1.9.300 bertsiora eguneratzea;

• IBM Cognos TM1 10.2.2ren kasuan, Cognos TM1 10.2.2.7 Interim Fix 22 segurtasun partxea aplikatzea. 

Xehetasuna:

• IBM Spectrum Protect eta Storage Agents-ek duten larritasun kritikoaren jatorria da pilan oinarritutako bufferraren gainezkatzea. Urruneko erasotzaile batek instantziako identitate pribilegioekin kode arbitrarioa exekuta lezake edo sistema gelditu. Ahultasun horretarako CVE-2019-4087 identifikatzailea erreserbatu da.
• IBM Spectrum Protect eta Storage Agents-ek duten kritikotasun altuko ahultasun baten jatorria da dsmqsan moduluan bereziki sortutako liburutegi bat kargatzea. Erasotzaile lokal batek root pribilegioak eskura litzake sisteman. Ahultasun horretarako CVE-2019-4088 identifikatzailea erreserbatu da.
• IBM Cognos TM1ek duen kritikotasun altuko ahultasun baten jatorria da CreateProcess() eta CreateProcessAsUser() funtzioek egiten dituzten dei ez-seguruak Windowsen bilaketen bideak erabiltzean kakotxen artean jarri gabe. Erasotzaile lokal batek kode arbitrarioa exekuta lezake pribilegioen eskalatzearekin. Ahultasun horretarako CVE-2019-4245 identifikatzailea erreserbatu da.
• IBM Spectrum Protect Plus-ek duen kritikotasun altuko ahultasun baten jatorria da berau erabiltzea Oracle edo MongoDB datu baseak babesteko. Erasotzaile batek pribilegioen eskalatzea egin lezake. Ahultasun horretarako CVE-2019-4383 identifikatzailea erreserbatu da.
• IBM Spectrum Protect Plus-ek duen kritikotasun altuko ahultasun baten jatorria da berau erabiltzea Oracle, DB2 edo MongoDB datu baseak babesteko. Erasotzaile batek kode arbitrarioa exekuta lezake sisteman. Ahultasun horretarako CVE-2019-4357 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, IBM, Ahultasuna