+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

IBM усунула критичні вразливості у Spectrum Protect, Planning Analytics та Security Guardium

IBM усунула критичні вразливості у Spectrum Protect, Planning Analytics та Security Guardium

IBM усунула серйозні баги в різних лінійках продуктів, через які зловмисники можуть отримати віддалений доступ до систем. Зокрема, в інструменті Spectrum Protect (забезпечує масштабований захист даних) знайдено проблеми, найсерйозніші з яких можуть надати зловмисникам доступ до віддаленого виконання довільного коду на вразливих системах.

Загалом фахівці IBM виявили сім багів у інструментах зберігання та управління даними, включаючи рішення для аналізу даних Planning Analytics, платформу захисту даних Security Guardium та переглядач Daeja ViewONE.

Найнебезпечнішою проблемою виявилася CVE-2019-4087, яка отримала оцінку 9,8 бала з 10 можливих за шкалою CVSS. Вона стосується версій платформи 7.1 і 8.1. Вразливість може бути проексплуатована шляхом надсилання надмірно довгого запиту, який призведе до переповнення буфера та дозволить виконати довільний код на системі або викликати збій сервера чи агента зберігання.

Spectrum Protect також містить баг (CVE-2019-4088), за допомогою якого локальний атакуючий може підвищити права на системі. Вразливість можна проексплуатувати шляхом завантаження спеціально сформованої бібліотеки через модуль «dsmqsan» платформи. Таким чином, локальний зловмисник може отримати права суперкористувача на системі.

Також у рішенні було виправлено вразливість (CVE-2019-4140), що дозволяє локальному користувачеві замінити існуючі бази даних шляхом відновлення старих даних. Крім того, було усунено баг (CVE-2019-4129), за допомогою якого атакуючий може отримати віддалений доступ до конфіденційної інформації.

Користувачам рекомендується оновити Spectrum Protect до версій 8.1.8 або 7.1.9.300.

Інструмент IBM Security Guardium, призначений для запобігання витоку з баз даних та сховищ, містить вразливість (CVE-2019-4292), за допомогою якої зловмисник може віддалено завантажити довільний файл, а потім виконати довільний код на вразливому веб-сервері. Ступінь небезпеки вразливості оцінюється в 8,8 балів за шкалою CVSS.

У рішеннях Planning Analytics 2.0 та Daeja ViewONE Virtual 5.0 - 5.0.5 було виявлено дві вразливості (CVE-2019-4134 та CVE-2019-4260), які надають доступ обліковим даним та конфіденційній інформації.

Інші новини