IBM Spectrum Protect-dagi muhim zaifliklarni tuzatadi
Umuman olganda, IBM mutaxassislari maʼlumotlarni saqlash va boshqarish vositalarida yettita xatoni aniqladilar.
IBM o’z mahsulot liniyalari bo’ylab tajovuzkorlarga tizimlarga masofaviy kirish imkonini beradigan bir nechta jiddiy xatolarni tuzatdi. Xususan, Spectrum Protect (maʼlumotlarni masshtablash mumkin boʻlgan himoya vositasi) da muammolar topildi, ularning eng jiddiyi tajovuzkorlarga zaif tizimlarda oʻzboshimchalik kodini masofadan turib bajarishga imkon berishi mumkin. Umuman olganda, IBM mutaxassislari maʼlumotlarni saqlash va boshqarish vositalarida, jumladan, Planning Analytics maʼlumotlar tahlili yechimi, Security Guardium maʼlumotlarini himoya qilish platformasi va Daeja ViewONE tomoshabinida yettita xatoni aniqladilar.
Eng xavfli muammo CVE-2019-4087 boʻlib, CVSS 10 balldan 9,8 ballga ega boʻldi. U 7.1 va 8.1 platforma versiyalariga taʼsir qiladi. Ushbu zaiflikdan haddan tashqari uzun so’rov yuborish orqali foydalanish mumkin, bu bufer to’lib ketishiga olib keladi va tizimda o’zboshimchalik bilan kod bajarilishiga ruxsat beradi yoki server yoki saqlash agenti ishdan chiqishiga olib keladi.
Spectrum Protect shuningdek, mahalliy tajovuzkorga tizimdagi imtiyozlarni oshirishga imkon beruvchi xatolikni (CVE-2019-4088) o’z ichiga oladi. Zaiflikdan platformaning “dsmqsan” moduli orqali maxsus tayyorlangan kutubxonani yuklash orqali foydalanish mumkin. Bu mahalliy tajovuzkorga tizimda superfoydalanuvchi imtiyozlarini olish imkonini beradi.
Yechim, shuningdek, mahalliy foydalanuvchiga eski maʼlumotlarni qayta tiklash orqali mavjud maʼlumotlar bazalarini almashtirish imkonini beruvchi zaiflikni (CVE-2019-4140) tuzatdi. Bundan tashqari, tajovuzkorga maxfiy maʼlumotlarga masofadan kirish imkonini beradigan xatolik (CVE-2019-4129) tuzatildi.
Foydalanuvchilarga Spectrum Protect-ni 8.1.8 yoki 7.1.9.300 versiyalariga yangilash tavsiya etiladi.
IBM Security Guardium, ma’lumotlar bazalari va saqlash qurilmalaridan sizib chiqishining oldini olish uchun mo’ljallangan vosita, tajovuzkorga o’zboshimchalik bilan faylni masofadan yuklash va zaif veb-serverda o’zboshimchalik kodini bajarish imkonini beruvchi zaiflikni (CVE-2019-4292) o’z ichiga oladi. Zaiflikning CVSS jiddiylik darajasi 8,8 ga teng.
Planning Analytics 2.0 va Daeja ViewONE Virtual 5.0 – 5.0.5 yechimlarida hisob maʼlumotlari va maxfiy maʼlumotlarga kirish imkonini beradigan ikkita zaiflik (CVE-2019-4134 va CVE-2019-4260) aniqlandi.
