IBM zaktualizował wiele krytycznych i poważnych podatności w kilku produktach, najpoważniejsza z nich występuje w IBM Spectrum Protect.

Ujawnionych zostało siedem CVE w narzędziach narzędziach do przechowywania i zarządzania danymi. Obejmuje to narzędzie do analizy danych IBM Analytics Planning, platformę ochrony danych IBM Security Guardium oraz przeglądarkę obrazów IBM Daeja ViewONE.

Najpoważniejszą luką jest podatność (CVE-2019-4087) wpływająca na pamięć masową i serwery, które są chronione przez Spectrum Protect, platformę bezpieczeństwa danych IBM. Jest to podatność typu “stack-buffer-overflow”, która wynika z niewłaściwego sprawdzania granic serwerów i pamięci. Wpływa ona na wersje 7.1 i 8.1 platformy.

Pozostałe podatności:

  • CVE-2019-4088IBM Spectrum Protect – umożliwia lokalnemu atakującemu uzyskanie podwyższonych uprawnień poprzez załadowanie spreparowanej biblioteki za pośrednictwem modułu “dsmqsan”.
  • CVE-2019-4140 – IBM Spectrum Protect – umożliwia lokalnemu atakującemu zastąpienie istniejących baz danych przez przywrócenie starych.
  • CVE-2019-4129IBM Spectrum Protect – umożliwia atakującemu uzyskanie poufnych informacji.
  • CVE-2019-4292 – IBM Security Guardium – umożliwia atakującemu zdalne przesłanie dowolnych plików, co może pozwolić na wykonanie dowolnego kodu na podatnym serwerze WWW.
  • CVE-2019-4134IBM Planning Analytics – umożliwia atakującemu ujawnienie poświadczeń.
  • CVE-2019-4260IBM Daeja ViewONEs – umożliwia atakującemu uzyskanie poufnych informacji.