NewsUpdate: Aktuelle Sicherheitslücken in IBM Spectrum Protect Backup-Archive Client (CVE-2022-0778, CVE-2022-0778, CVE-2022-22474)

Markus Stumpf, Andreas Schwab — 13. Juli 2022
Lesezeit 1:11 Minuten

IBM ISP PLUS Release Folgeinformation

Aktuelle Hinweise aus unserem Team zu den Security Bulletins der IBM zur Schließung von Sicherheitslücken in IBM Spectrum Protect Backup-Archive Client

Security Bulletin: Denial of Service vulnerability in OpenSSL may affect IBM Spectrum Protect Backup-Archive Client (CVE-2022-0778)

Die OpenSSL-Schwachstellen wurden am 15. März 2022 vom OpenSSL-Projekt bekannt gegeben. OpenSSL, das vom IBM Spectrum Protect Backup-Archive Client für Netzwerkverbindungen mit NetApp-Diensten verwendet wird, hat die betreffende Sicherheitslücke geschlossen.

Details zur Schwachstelle

CVEID: CVE-2022-0778

CVSS-Basisbewertung: 7.5

BESCHREIBUNG

 

OpenSSL ist anfällig für eine Dienstverweigerung (denial of Service), verursacht durch einen Fehler in der BN_mod_sqrt() Funktion beim Parsen von Zertifikaten. Durch die Verwendung eines speziell erstellten Zertifikats mit ungültigen expliziten Kurvenparametern kann ein entfernter Angreifer diese Schwachstelle ausnutzen, um eine Endlosschleife zu verursachen, was zu einem Denial-of-Service-Zustand führt.

 

Betroffene Plattformen: Linux, Windows

Betroffene ISP B/A Client Versionen: 8.1.0.0 – 8.1.14.0

Security Bulletin: Information Disclosure and Denial of Service Vulnerabilities in IBM Spectrum Protect Backup-Archive Client (CVE-2022-22478, CVE-2022-22474)

Der IBM Spectrum Protect-Backup-Archiv-Client ist anfällig für die Offenlegung von Informationen, da Benutzeranmeldeinformationen im Speicher im Klartext gespeichert werden. Der Backup-Archiv-Client ist außerdem anfällig für eine Dienstverweigerung (denial of service) aufgrund bestimmter Lesevorgänge an TCP/IP-Sockets.

Details zur Schwachstelle

CVEID: CVE-2022-22478

CVSS-Basisbewertung: 6.2

BESCHREIBUNG

 

IBM Spectrum Protect Client speichert Benutzeranmeldedaten im Klartext, der von einem lokalen Benutzer gelesen werden kann.

 

CVEID: CVE-2022-22474

CVSS-Basisbewertung: 5.9

BESCHREIBUNG

 

Die IBM Spectrum Protect-Prozesse dsmcad, dsmc und dsmcsvc behandeln bestimmte Lesevorgänge an TCP/IP-Sockets falsch. Dies kann zu einer Dienstverweigerung (denial of service) für IBM Spectrum Protect-Clientoperationen führen.

 

Betroffene Plattformen: AIX, HP-UX, Linux, Macintosh, Solaris, Windows

Betroffene ISP B/A Client Versionen: 8.1.0.0 – 8.1.14.0

Fixing Level

8.1.15.0

IBM FTP Download Links

https://public.dhe.ibm.com/storage/tivoli-storage-management/maintenance/client/v8r1/

 

IBM Spectrum Protect Security Bulletin Download Links Übersicht

 

IBM WebSphere Application Server Liberty vulnerabilities affect IBM Spectrum Protect Backup-Archive Client, IBM Spectrum Protect for Virtual Environments, and IBM Spectrum Protect for Space Management (CVE-2021-35517, CVE-2021-36090)

 

Security Bulletin: Vulnerability in IBM Dojo affects IBM Spectrum Protect for Virtual Environments (CVE-2021-23450)

 

Security Bulletin: IBM WebSphere Application Server Liberty vulnerabilities affect IBM Spectrum Protect Backup-Archive Client, IBM Spectrum Protect for Virtual Environments, and IBM Spectrum Protect for Space Management (CVE-2021-35517, CVE-2021-36090)

 

Security Bulletin: Vulnerabilities in IBM Java Runtime and Golang Go affect IBM Spectrum Protect Server (CVE-2021-35578, CVE-2021-44716, CVE-2021-44717)

 

Security Bulletin: Vulnerabilities in IBM Db2 affect IBM Spectrum Protect Server (CVE-2021-38931, CVE-2021-29678, CVE-2021-20373, CVE-2021-39002, CVE-2021-38926)

 

Security Bulletin: IBM Spectrum Protect 8.1.14.000 Server is vulnerable to bypass of security restrictions (CVE-2022-22394)

 

Security Bulletin: IBM Spectrum Protect Server may not count invalid sign-on attempts from Operations Center (CVE-2022-224485)

IBM Spectrum Protect Plus™

 

Security Bulletin: IBM Spectrum Protect Plus may disclose sensitive information in virgo log file (CVE-2022-22396)

 

 

Security Bulletin: Heap-Based Buffer Overflow in Mozilla Network Security Services (NSS) may affect IBM Spectrum Protect Plus (CVE-2021-43527)

 

Security Bulletin: Vulnerabilities in the Linux Kernel, Samba, Sudo, Python, and tcmu-runner affect IBM Spectrum Protect Plus

 

 

Security Bulletin: Denial of Service Vulnerability in Golang Go affects IBM Spectrum Protect Plus Container Backup and Restore for Kubernetes and Red Hat OpenShift (CVE-2022-24921)

 

Security Bulletin: Vulnerabilities in Polkit, Node.js, OpenSSH, and Golang Go affect IBM Spectrum Protect Plus (CVE-2021-4034, CVE-2022-21681, CVE-2022-21680, CVE-2022-0235, CVE-2021-41617, CVE-2021-44716, CVE-2021-44717, 218243)

 

Security Bulletin: Vulnerabilities in Celery, Golang Go, and Python affect IBM Spectrum Protect Plus Container Backup and Restore for Kubernetes and Red Hat OpenShift

 

Security Bulletin: Vulnerability in Flask and Python affects IBM Spectrum Protect Plus Microsoft File Systems Backup and Restore (CVE-2021-33026, CVE-2022-0391)

 

 

Security Bulletin: IBM Spectrum Protect Plus is vulnerable to PostgreSQL Man-in-the-Middle and Slowloris Denial of Service attacks (CVE-2021-23222, CVE-2022-22354)

Besonders interessant, da B/A Client bis 8.1.14 betroffen und CVE Base Score 7.5:

 

https://www.ibm.com/support/pages/node/6596399?myns=swgother&mynp=OCSSEQVQ&mync=E&cm_sp=swgother-_-OCSSEQVQ-_-E

Bei weitere Fragen können Sie uns gerne kontaktieren.

 

Ihr Empalis-Team

Wenn Sie sich hierfür interessieren, dann interessieren Sie sich vielleicht auch für...