Alert!

Kritische Lücke im Python-Framework PyYAML bedroht IBM Spectrum Protect

IBM hat unter anderem für IBM Db2 und Spectrum Protect wichtige Sicherheitsupdates veröffentlicht.

In Pocket speichern vorlesen Druckansicht 5 Kommentare lesen

(Bild: Artur Szczybylo/Shutterstock.com)

Lesezeit: 3 Min.

Angreifer könnten das Datenbanksystem Db2 und die Server-Schutzlösung Spectrum Protect attackieren. Sind Attacken erfolgreich, könnte Software abstürzen (DoS) und Informationen leaken. In einigen Fällen ist sogar die Ausführung von Schadcode vorstellbar.

Um verwundbare und gepatchte Versionen ausfindig zu machen, sollten Admins die unterhalb dieser Meldung verlinkten Warnhinweise studieren.

Die gefährlichste Lücke (CVE-2020-1747) betrifft das Python-Framework PyYAML, das Spectrum Protect Plus Container (Linux) und Spectrum Protect Plus Microsoft File Systems Agent (Windows) einsetzt. Die Sicherheitslücke gilt als "kritisch". Aufgrund eines Fehlers kommt es zu Problemen bei der Verarbeitung von nicht vertrauenswürdigen YAML-Dateien. Schadcode-Attacken sollen aus der Ferne möglich sein.

Davon sind unter Linux die Versionen 10.1.5 bis 10.1.6 und unter Windows 10.1.6 betroffen. Die Ausgabe 10.1.7 ist den Entwicklern zufolge gegen diese Attacken abgesichert.

Mehrere Schwachstellen in Db2 sind mit dem Bedrohungsgrad "hoch" eingestuft. Hier könnten Angreifer zum Beispiel Speicherfehler auslösen und so beispielsweise Schadcode mit Root-Rechten ausführen. Davon sind Linux, Unix und Windows betroffen.

Liste nach Bedrohungsgrad absteigend sortiert:

(des)