首页 云计算

云安全日报200915:IBM混合云数据保护解决方案发现高危漏洞,需要尽快升级

IBM Spectrum Protect Plus是IBM公司一种现代化的数据保护解决方案,可为混合多云环境中的VM,数据库和容器提供近乎即时的恢复,复制,保留和重用。它很容易部署为虚拟设备,并且无代理架构易于维护。它通过提高开发,测试和分析的质量和速度来释放数据的价值。通过将数据卸载到本地和基于云的对象存储以及IBM Spectrum Protect(包括对物理和虚拟磁带的支持),可以实现具有成本效益的数据保留,数据合规性和灾难恢复。

不过根据9月14日IBM安全公告显示,该数据保护解决方案爆出高危漏洞,需要尽快升级。以下是漏洞详情:

漏洞详情

来源:

https://www.ibm.com/support/pages/node/6328867

1.CVEID:CVE-2020-4703 CVSS评分: 8 高危

IBM Spectrum Protect Plus管理控制台可以允许经过身份验证的攻击者上载任意文件,这些文件可以在易受攻击的服务器上执行任意代码。此漏洞是由于先前CVE-2020-4470(IBM Spectrum Protect Plus管理控制台可以允许经过身份验证的攻击者上载任意文件,这些文件可以在易受攻击的服务器上执行任意代码)的修复不完整引起的。

2.CVEID:CVE-2020-4711 CVSS评分:6.5 高

IBM Spectrum Protect Plus可能允许远程攻击者遍历系统上的目录。攻击者可以发送特制的URL请求,其中包含“点点”序列(/../),以查看系统上的任意文件。

3. 第三方(Linux)条目:187206  CVSS评分:6.2 中

Linux内核存在写时复制安全旁路漏洞,Linux内核中的漏洞会影响IBM Spectrum Protect Plus。

4.CVEID:CVE-2020-13401 CVSS评分:6 中

Docker容易受到间接攻击,这可能会影响IBM Spectrum Protect Plus,该Docker间接攻击漏洞是由于路由器广播验证不正确引起的。通过发送恶意路由器广播,攻击者可以使用间接技术来利用此漏洞,以访问端点之间的通信通道以获得敏感信息或进一步危害系统。

受影响产品和版本

上述漏洞影响IBM Spectrum Protect Plus 10.1.0 ~ 10.1.6版本

解决方案

目前IBM官方已发布临时修复补丁,升级IBM Spectrum Protect™Plus版本10.1.6.x的临时修订包即可修复,可参见官方修复链接:

https://www.ibm.com/support/pages/node/6254732

 

查看更多漏洞信息 以及升级请访问官网:

https://www.ibm.com/blogs/psirt/

官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

↑扫描二维码

想在手机上看科技资讯和科技八卦吗?

想第一时间看独家爆料和深度报道吗?

请关注TechWeb官方微信公众帐号:

1.用手机扫左侧二维码;

2.在添加朋友里,搜索关注TechWeb。

手机游戏更多