IBM устранила критические уязвимости в Spectrum Protect, Planning Analytics и Security Guardium
IBM устранила критические уязвимости в Spectrum Protect, Planning Analytics и Security Guardium
IBM устранила серьезные баги в разных линейках продуктов, из-за которых злоумышленники могут получить удаленный доступ к системам. В частности, в инструменте Spectrum Protect (обеспечивает масштабируемую защиту данных) найдены проблемы, наиболее серьезные из которых могут предоставить злоумышленникам доступ к удаленному выполнению произвольного кода на уязвимых системах.
В общей сложности специалисты IBM обнаружили семь багов в инструментах хранения и управления данными, включая решение для анализа данных Planning Analytics, платформу защиты данных Security Guardium и просмотрщик Daeja ViewONE.
Самой опасной проблемой оказалась CVE-2019-4087, получившая оценку 9,8 балла из 10 возможных по шкале CVSS. Она затрагивает версии платформы 7.1 и 8.1. Уязвимость может быть проэксплуатирована путем отправки чрезмерно длинного запроса, который приведет к переполнению буфера и позволит выполнить произвольный код на системе либо вызвать сбой сервера или агента хранения.
Spectrum Protect также содержит баг (CVE-2019-4088), с помощью которого локальный атакующий может повысить права на системе. Уязвимость можно проэксплуатировать путем загрузки специально сформированной библиотеки через модуль «dsmqsan» платформы. Таким образом локальный злоумышленник может получить права суперпользователя на системе.
Также в решении была исправлена уязвимость (CVE-2019-4140), позволяющая локальному пользователю заменить существующие базы данных путем восстановления старых данных. Кроме того, был устранен баг (CVE-2019-4129), с помощью которой атакующий может получить удаленный доступ к конфиденциальной информации.
Пользователям настоятельно рекомендуется обновить Spectrum Protect до версий 8.1.8 или 7.1.9.300.
Инструмент IBM Security Guardium, предназначенный для предотвращения утечек из баз данных и хранилищ, содержит уязвимость (CVE-2019-4292), с помощью которой злоумышленник может удаленно загрузить произвольный файл, а затем выполнить произвольный код на уязвимом web-сервере. Степень опасности уязвимости оценивается в 8,8 балла по шкале CVSS.
В решениях Planning Analytics 2.0 и Daeja ViewONE Virtual 5.0 - 5.0.5 были обнаружены две уязвимости (CVE-2019-4134 и CVE-2019-4260), предоставляющие доступ учетным данным и конфиденциальной информации.