首頁 > 安全研究 > 安全通報 > 安全通告

IBM 系列產品多個漏洞安全通告

發布時間 2019-07-05

漏洞編號和級別



CVE編號:CVE-2019-4087,危險級別:嚴重,CVSS分值:廠商自評:9.8,官方:9.8
CVE編號:CVE-2019-4088,危險級別:高危,CVSS分值:廠商自評:7.4,官方未評定
CVE編號:CVE-2019-4140,危險級別:高危,CVSS分值:廠商自評:6.3,官方:7.1
CVE編號:CVE-2019-4129,危險級別:中危,CVSS分值:廠商自評:3.1,官方:5.3
CVE編號:CVE-2019-4292,危險級別:高危,CVSS分值:廠商自評:8.8,官方:8.8 
CVE編號:CVE-2019-4134,危險級別:中危,CVSS分值:廠商自評:6.1,官方:6.1

CVE編號:CVE-2019-4260,危險級別:中危,CVSS分值:廠商自評:5.3,官方:5.3



影響版本



受影響的版本


CVE-2019-4087、CVE-2019-4088、CVE-2019-4140、CVE-2019-4129:

IBM Spectrum Protect
8.1.0.0 through 8.1.7.xxx
7.1.0.0 through 7.1.9.200
CVE-2019-4292:
IBM Security Guardium 10.5
CVE-2019-4134:
IBM Planning Analytics Local v2.0
CVE-2019-4260:

Daeja ViewONE Virtual 5.0 - 5.0.5



漏洞概述



IBM披露了其一系列產品中多個關鍵和高嚴重性漏洞,其中最嚴重的漏洞存在于IBM Spectrum Protect工具中。IBM Spectrum Protect(前稱Tivoli Storage Manager)是美國IBM公司的一套數據保護平臺。該平臺為企業提供單一控制和管理點,并支持對所有規模的虛擬、物理和云環境進行備份和恢復。多個漏洞如下:


CVE-2019-4087

IBM Spectrum Protect Servers和Storage Agents中存在緩沖區錯誤漏洞,該漏洞源于程序沒有執行正確的邊界檢測。遠程攻擊者可通過發送超長的請求利用該漏洞在系統上執行任意代碼或造成服務器或Storage Agents崩潰。


CVE-2019-4088

IBM Spectrum Protect Servers和Storage Agents中存在安全漏洞。攻擊者可借助特制的庫利用該漏洞獲取提升的權限。


CVE-2019-4140

IBM Spectrum Protect中存在安全漏洞。本地攻擊者可利用該漏洞恢復舊數據來替換現有的數據庫。


CVE-2019-4129

IBM Spectrum Protect Operations Center中存在安全漏洞,該該漏洞源于錯誤消息中包含有棧軌跡。遠程攻擊者可利用該漏洞獲取Operations Center框架的詳細信息。


CVE-2019-4292

IBM Security Guardium是美國IBM公司的一套提供數據保護功能的平臺。該平臺包括自定義UI、報告管理和流線化的審計流程構建等功能。IBM Security Guardium中存在安全漏洞。遠程攻擊者可利用該漏洞上傳任意文件,執行任意代碼。


CVE-2019-4134

IBM Planning Analytics是美國IBM公司的一套業務規劃分析解決方案。該方案支持自動化執行業務規劃、預算和分析等流程。IBM Planning Analytics中存在跨站腳本漏洞。遠程攻擊者可利用該漏洞在Web UI中注入任意的JavaScript代碼。


CVE-2019-4260

IBM Daeja ViewONE Virtual是美國IBM公司的一款基于HTML5的文檔和圖像查看器。該產品主要用于查看、注釋和打印圖像和文檔。IBM Daeja ViewONE Virtual中存在安全漏洞。攻擊者可利用該漏洞下載任意服務器文件。



漏洞驗證



暫無POC/EXP。



修復建議



目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接見參考鏈接。



參考鏈接



https://www-01.ibm.com/support/docview.wss?uid=ibm10882472
https://www-01.ibm.com/support/docview.wss?uid=ibm10883346
https://www-01.ibm.com/support/docview.wss?uid=ibm10883236
https://www-01.ibm.com/support/docview.wss?uid=ibm10888279
https://www-01.ibm.com/support/docview.wss?uid=ibm10886607
https://www-01.ibm.com/support/docview.wss?uid=ibm10884382


上一篇 下一篇