Linux-Kernel-Lücken gefährden IBMs Datenschutzlösung Spectrum Protect Plus
Es gibt wichtige Sicherheitsupdates für Spectrum Protect Plus von IBM. Das Angriffsrisiko gilt als hoch.
Admins, die IBMs Datenschutzlösung Spectrum Protect Plus einsetzen, sollten die aktuelle Version für Linux-Plattformen installieren. Insgesamt haben die Entwickler 32 Sicherheitslücken geschlossen. Im schlimmsten Fall könnten Angreifer Schadcode auf verwundbaren Systemen ausführen.
Spectrum Protect Plus ist eine Datenschutzlösung, mit der man unter anderem VMs und Datenbanken backupen und wiederherstellen kann. Die Sicherheitslücken stecken im Linux-Kernel und machen die Software vielfältig angreifbar, schreibt IBM in einer Sicherheitswarnung. Von den 32 Schwachstellen sind sieben mit dem Bedrohungsgrad "hoch" eingestuft. Für die restlichen Lücken gilt das Angriffsrisiko "mittel" und "niedrig".
Bedroht sind die Spectrum-Protect-Plus-Versionen 10.1.0 bis 10.1.5. IBM zufolge ist die Linux-Ausgabe 10.1.5.2199 abgesichert. Admins sollten diese zügig installieren. Betroffen sind die Kernel-Versionen 4.9.0, < 5.0.10, < 5.0.14, 5.0.21, < 5.1.17, < 5.1.18, < 5.2.1, < 5.2.3, < 5.2.6, < 5.2.8, 5.2.9, 5.3.10, 5.3.13, 5.3.2, 5.4.0-rc2, < 5.4.2, 5.4.6, 5.5.6 und < 5.5.8.
Attacken oft nicht ohne Weiteres möglich
In vielen Fällen benötigt ein Angreifer lokalen oder sogar physischen Zugriff auf verwundbare Systeme. So muss ein lokaler Angreifer beispielsweise präparierte Anfragen verschicken, um ein System via DoS-Attacke lahmzulegen. In diesem Fall ist auch die Ausführung von Schadcode vorstellbar (CVE-2019-19252, CVE-2019-19447).
In anderen Fällen (CVE-2019-18675, CVE-2019-19241) kann sich ein lokaler authentifizierter Angreifer über spezielle Anfragen höhere Nutzerrechte aneignen. Es sind aber auch Attacken aus der Ferne möglich (CVE-2019-10220). Aufgrund eines Fehler in der CIFS-Implementierung im Linux Kernel könnte ein Angreifer im Zuge einer Directory-Traversal-Attacke Dateien auf Systemen manipulieren.
Weitere Einzelheiten zu den Sicherheitslücken führt IBM in der Warnmeldung aus.
[UPDATE, 01.04.2020 11:45 Uhr]
Betroffene Kernel-Versionen im Fließtext eingefügt. (des)