Security Bulletin: Denial of Service vulnerability in OpenSSL may affect IBM Spectrum Protect Backup-Archive Client (CVE-2022-0778)
Die OpenSSL-Schwachstellen wurden am 15. März 2022 vom OpenSSL-Projekt bekannt gegeben. OpenSSL, das vom IBM Spectrum Protect Backup-Archive Client für Netzwerkverbindungen mit NetApp-Diensten verwendet wird, hat die betreffende Sicherheitslücke geschlossen.
Details zur Schwachstelle
CVEID: CVE-2022-0778
CVSS-Basisbewertung: 7.5
Beschreibung
OpenSSL ist anfällig für eine Dienstverweigerung (denial of Service), verursacht durch einen Fehler in der BN_mod_sqrt() Funktion beim Parsen von Zertifikaten. Durch die Verwendung eines speziell erstellten Zertifikats mit ungültigen expliziten Kurvenparametern kann ein entfernter Angreifer diese Schwachstelle ausnutzen, um eine Endlosschleife zu verursachen, was zu einem Denial-of-Service-Zustand führt.
Betroffene Plattformen: Linux, Windows
Betroffene ISP B/A Client Versionen: 8.1.0.0 – 8.1.14.0
Security Bulletin: Information Disclosure and Denial of Service Vulnerabilities in IBM Spectrum Protect Backup-Archive Client (CVE-2022-22478, CVE-2022-22474)
Der IBM Spectrum Protect-Backup-Archiv-Client ist anfällig für die Offenlegung von Informationen, da Benutzeranmeldeinformationen im Speicher im Klartext gespeichert werden. Der Backup-Archiv-Client ist außerdem anfällig für eine Dienstverweigerung (denial of service) aufgrund bestimmter Lesevorgänge an TCP/IP-Sockets.
Details zur Schwachstelle
CVEID: CVE-2022-22478
CVSS-Basisbewertung: 6.2
Beschreibung
IBM Spectrum Protect Client speichert Benutzeranmeldedaten im Klartext, der von einem lokalen Benutzer gelesen werden kann.
CVEID: CVE-2022-22474
CVSS-Basisbewertung: 5.9
Beschreibung
Die IBM Spectrum Protect-Prozesse dsmcad, dsmc und dsmcsvc behandeln bestimmte Lesevorgänge an TCP/IP-Sockets falsch. Dies kann zu einer Dienstverweigerung (denial of service) für IBM Spectrum Protect-Clientoperationen führen.
Betroffene Plattformen: AIX, HP-UX, Linux, Macintosh, Solaris, Windows
Betroffene ISP B/A Client Versionen: 8.1.0.0 – 8.1.14.0
Fixing Level
8.1.15.0
IBM FTP Download Links
https://public.dhe.ibm.com/storage/tivoli-storage-management/maintenance/client/v8r1/
IBM Spectrum Protect Security Bulletin Download Links Übersicht
IBM Spectrum Protect Plus™
Besonders interessant, da B/A Client bis 8.1.14 betroffen und CVE Base Score 7.5:
Bei weitere Fragen können Sie uns gerne kontaktieren.
Ihr Empalis-Team