Root-Lücke bedroht IBM Spectrum Protect Server
Unter anderem gefährliche Sicherheitslücken in IBMs Datenbankmanagementsystem Db2 gefährden Spectrum Protect Server.
(Bild: Artur Szczybylo/Shutterstock.com)
Admins von IBM Spectrum Protect Server und Spectrum Protect Plus sollten ihre Installationen auf Aktualität prüfen. Fehler in verschiedenen Komponenten machen Systeme verwundbar. Im schlimmsten Fall könnten Angreifer Schadcode mit Root-Rechten ausführen. Sicherheitsupdates für die Linux-, Unix- und Windows-Versionen sind verfügbar.
IBM Spectrum Protect und Spectrum Protect Plus sind Datensicherungslösungen für Anwendungen, Dateiserver und virtuelle Umgebungen.
Die gefährlichste Schwachstelle (CVE-2020-4204) in Db2 ist mit dem Angriffsrisiko "hoch" eingestuft. Hier könnte ein lokaler Angreifer auf nicht näher beschriebenem Weg einen Speicherfehler (buffer overflow) provozieren, um so Schadcode auf Systeme zu schieben und diesen mit Root-Rechten ausführen. Nutzen Angreifer die weiteren Lücken aus, könnten sie Spectrum Protect Server via DoS-Attacke abstürzen lassen. Wie man einer Sicherheitsmeldung von IBM entnehmen kann, ist die Version 8.1.10.000 abgesichert.
Systeme lahmlegen
Weitere Schwachstellen (CVE-2019-2989) betreffen IBM Java Runtime und Go (CVE-2019-16276). Im Zuge einer erfolgreichen Attacke könnten Angreifer beispielsweise Sicherheitsfunktionen umgehen. Beide Sicherheitslücken sind mit dem Bedrohungsgrad "mittel" versehen. Auch hier schafft Spectrum Protect Server 8.1.10.000 Abhilfe.
Spectrum Protect Plus ist über eine Linux-Kernel-Lücke (CVE-2020-12114) attackierbar. Ein erfolgreicher Angriff führt IBM zufolge zu einer Kernel panic. Das Angriffsrisiko gilt als "mttel". Die Ausgabe 10.1.6 für Linux ist repariert.
Liste nach Bedrohungsgrad absteigend sortiert:
- Db2 vulnerabilities affect IBM Spectrum Protect Server (CVE-2020-4230, CVE-2020-4135, CVE-2020-4204, CVE-2020-4200)
- Vulnerability in IBM Java Runtime affects the IBM Spectrum Protect Server (CVE-2019-2989)
- Denial of Service vulnerability in Linux Kernel affects IBM Spectrum Protect Plus (CVE-2020-12114)
- Vulnerability in Go programming language affects IBM Spectrum Protect Server (CVE-2019-16276)
(des)
