DFN-CERT-2017-0365 IBM Tivoli Storage Manager: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Unix][AIX][Solaris][Windows][Netzwerk]

DFN-CERT-2017-0365 IBM Tivoli Storage Manager: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Unix][AIX][Solaris][Windows][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

IBM Tivoli Storage Manager 5.5
IBM Tivoli Storage Manager 6.1
IBM Tivoli Storage Manager 6.2
IBM Tivoli Storage Manager >= 6.3.0.0
IBM Tivoli Storage Manager <= 6.3.6.0 IBM Tivoli Storage Manager >= 7.1.0.0
IBM Tivoli Storage Manager <= 7.1.7.0 Betroffene Plattformen: GNU/Linux HP-UX IBM AIX Microsoft Windows Oracle Solaris Ein entfernter, einfach authentisierter Angreifer kann eine Schwachstelle im Tivoli Storage Manager (IBM Spectrum Protect) SQL-Interface ausnutzen, um unautorisiert Anmeldedaten von Benutzern (User Credentials) und sensitive Informationen über das Produkt auszuspähen. IBM informiert über die Schwachstelle in den IBM Tivoli Storage Manager (IBM Spectrum Protect) Server Versionen 5.5, 6.1 und 6.2 (End-of-Support, EOS), 6.3 und 7.1, stellt die fehlerbereinigten Versionen 6.3.6.100 und 7.1.7.100 zur Verfügung und informiert weiterhin, dass die Schwachstelle in der Version 8.1.0.0 behoben ist. Anwender der älteren verwundbaren Versionen werden aufgefordert zunächst ein Upgrade auf einen Versionszweig durchzuführen, für den Sicherheitsupdates zur Verfügung stehen. Patch: IBM Security Bulletin swg21998946 http://www.ibm.com/support/docview.wss?uid=swg21998946

CVE-2016-8940: Schwachstelle in IBM Tivoli Storage Manager Server ermöglicht
Ausspähen von Informationen

Im IBM Tivoli Storage Manager (IBM Spectrum Protect) existiert eine
Schwachstelle aufgrund unzureichender Autorisationsprüfungen für
SQL-Abfragen. Dadurch ist es für einen Angreifer möglich SQL-Abfragen zu
übermitteln, durch die auf Datenbanktabellen zugegriffen wird, für die der
Zugriff oder die Verwendung nicht für Administratoren beabsichtigt ist.
Diese produktspezifischen Datenbanktabellen können Passwörter oder sensitive
Informationen für das Produkt enthalten.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0365/

IBM Security Bulletin swg21998946:
http://www.ibm.com/support/docview.wss?uid=swg21998946

IBM Security Bulletin: Tivoli Storage Manger (IBM Spectrum Protect) SQL
interface vulnerable to unauthorized access (CVE-2016-8940):
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-tivoli-storage-manger-ibm-spectrum-protect-sql-interface-vulnerable-to-unauthorized-access-cve-2016-8940/

Schwachstelle CVE-2016-8940 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8940

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben