Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/12/26

Garrantzia: Altua

Kaltetutako baliabideak:

IBM Elastic Storage Server, honako bertsioak:

• 5.3.0 bertsiotik 5.3.4.1 bertsiora bitartean;
• 5.0.0 bertsiotik 5.2.7.0 bertsiora bitartean;
• 4.5.0 bertsiotik 4.6.0.0 bertsiora bitartean;
• 4.0.0 bertsiotik 4.0.6.0 bertsiora bitartean.

Azalpena:

IBM Elastic Storage Server-i IBM Spectrum Scale-k duen ahultasun batek eragiten dio. Horren bitartez, root pribilegioak eskura daitezke setuid fitxategietan parametroak injektatuz.

Konponbidea:

• IBM Elastic Storage Server-en kasuan, 5.0.0 bertsiotik 5.3.4.1 bertsiora bitartekoak, 5.3.4.2 bertsiora eguneratzea;
• IBM Elastic Storage Server-en kasuan, 5.0.0 bertsiotik 5.2.7.0 bertsiora bitartekoak, 5.2.8 bertsiora eguneratzea;
• Ez bada posible IBM Elastic Storage Server-en 5.3.2.0 edo 5.2.5 bertsioetara eguneratzea, IBM Service-rekin harremanetan jarri efix bat eskuratzeko: 
•  
  • IBM Elastic Storage Server-en kasuan, 5.3.0.0 bertsiotik 5.3.4.1 bertsiora bitartekoak, APAR IJ18477 ezarri;
  • IBM Elastic Storage Server-en kasuan, 5.0.0.0 bertsiotik 5.2.7.0 bertsiora bitartekoak, APAR IJ18518 ezarri;
  • IBM Elastic Storage Server-en kasuan, 4.0.0 bertsiotik 4.6.0 bertsiora bitartekoak, APAR IJ18518 ezarri.

Xehetasuna:

Ahultasun bat aurkitu da IBM Spectrum Scale-ren maila guztietan, 5.0.0.0tik 5.0.3.2ra bitarteko bertsioak eta 4.2.0.0tik 4.2.3.17ra bitarteko bertsioak. Hori baliatuz, erasotzaile batek root pribilegioak eskura litzake setuid fitxategietan parametroak injektatuz. Ahultasun horretarako CVE-2019-4558 identifikatzailea erabili da.

Etiketak: Eguneraketa, IBM, Ahultasuna