IBM Spectrum Protect Plus是美国IBM公司的一套数据保护平台。该平台为企业提供单一控制和管理点,并支持对所有规模的虚拟、物理和云环境进行备份和恢复。
12月7日晚,IBM发布了紧急安全更新,修复了IBM Spectrum Protect Plus数据保护平台中发现的一些重要漏洞。以下是漏洞详情:
漏洞详情
1.CVE-2020-1747 CVSS评分:9.8 高危
来源:https://www.ibm.com/support/pages/node/6376724
PyYAML(用来解析YAML序列化数据格式的一种Python库)中存在一个漏洞,该漏洞可能允许远程攻击者在系统上执行任意代码。这是由通过full_load方法或FullLoader加载程序处理不受信任的YAML文件时的错误引起的。通过滥用python / object / new构造函数,攻击者可以利用此漏洞在系统上执行任意代码。此漏洞可能会影响Kubernetes的IBM Spectrum Protect Plus容器代理和IBM Spectrum Protect PlusMicrosoft®Windows File Systems代理。
2.CVE-2020-7746 CVSS评分:7.5 高
来源:https://www.ibm.com/support/pages/node/6378272
Node.js chart.js模块容易受到拒绝服务的攻击,这是由处理options参数时的原型污染缺陷引起的。通过发送特制的请求,远程攻击者可以利用此漏洞导致拒绝服务状况。此漏洞会影响IBM Spectrum Protect Plus。
3.CVE-2020-26137 CVSS评分:6.1 中
来源:https://www.ibm.com/support/pages/node/6378264
Urllib3(urllib3是一个功能强大的Python HTTP工具)容易受到CRLF注入的攻击,这可能允许远程攻击者执行跨站点脚本,缓存中毒或会话劫持攻击。具体是通过在putrequest()的第一个参数中插入CR和LF控制字符,远程攻击者可以利用此漏洞对易受攻击的系统进行各种攻击,包括跨站点脚本编写,缓存中毒或会话劫持。此漏洞可能会影响Kubernetes的IBM Spectrum Protect Plus容器代理和IBM Spectrum Protect PlusMicrosoft®Windows File Systems代理。
受影响产品和版本
适用于Kubernetes的IBM Spectrum Protect Plus容器代理(Linux) 10.1.5-10.1.6
IBM Spectrum Protect Plus Microsoft文件系统代理(Windows) 10.1.6
解决方案
对于Linux和Windows平台:
升级Spectrum Protect Plus 10.1.7版本可修复
查看更多漏洞信息 以及升级请访问官网:
https://www.ibm.com/blogs/psirt/