Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

IBM Tivoli Storage Manager 6.1
IBM Tivoli Storage Manager 6.2
IBM Tivoli Storage Manager 6.3
IBM Tivoli Storage Manager 7.1

Betroffene Plattformen:

GNU/Linux
IBM AIX

Eine Schwachstelle in IBM Tivoli Storage Manager 6.1, 6.2, 6.3 und 7.1
ermöglicht einem lokalen, nicht authentifizierten Angreifer das Erlangen von
Administratorrechten.

Für die nicht mehr unterstützten Versionen 6.1 und 6.2 werden keine
Sicherheitsupdates bereitgestellt, ein Sicherheitsupdate auf Version 6.3.6
wird für April 2016 angekündigt und Version 7.1.3 wird für verschiedene
Betriebssysteme als Sicherheitsupdate zur Verfügung gestellt.

Patch:

IBM Security Bulletin swg21969340

http://www-01.ibm.com/support/docview.wss?uid=swg21969340

CVE-2015-4927: Schwachstelle in IBM Tivoli Storage Manager ermöglicht
Erlangen von Administratorrechten

Die Zugriffsberechtigungen zu verschiedensten Dateien (‘file permissions’)
nach der Installation des Tivoli Store Managers sind nicht restriktiv genug.
Die Applikation hinterlässt global beschreibbare Dateien mit Rechten des
Benutzers ‘Root’ auf dem System, die ein lokaler Angreifer ausnutzen kann,
um höhere Rechte zu erlangen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1710/

IBM Security Bulletin swg21969340:
http://www-01.ibm.com/support/docview.wss?uid=swg21969340

Schwachstelle CVE-2015-4927 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4927

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.