DFN-CERT-2017-0754 Tivoli Storage Manager (IBM Spectrum Protect) Client: Eine Schwachstelle ermöglicht das Ausspähen sensitiver Informationen und das Erlangen von Benutzerrechten [Linux][Unix][AIX][Apple][Solaris][Windows][Netzwerk]

DFN-CERT-2017-0754 Tivoli Storage Manager (IBM Spectrum Protect) Client: Eine Schwachstelle ermöglicht das Ausspähen sensitiver Informationen und das Erlangen von Benutzerrechten [Linux][Unix][AIX][Apple][Solaris][Windows][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

IBM Tivoli Storage Manager Client < 6.4.3.5 IBM Tivoli Storage Manager Client < 7.1.6.5 Betroffene Plattformen: Apple Mac OS X macOS Sierra GNU/Linux HP-UX IBM AIX Microsoft Windows Oracle Solaris Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle im Tivoli Storage Manger (IBM Spectrum Protect) Client ausnutzen, wenn das 'set password'-Kommando verwendet wird und 'Instrumentation Tracing' angeschaltet ist, um das Kommando inklusive des Passwortes im Klartext aus der betreffenden Log-Datei auszulesen, und somit sensitive Informationen ausspähen, durch die er sich Benutzerrechte verschaffen kann. IBM informiert über die Schwachstelle in allen Tivoli Storage Manger (IBM Spectrum Protect) Client Versionen von 5.5, 6.1, 6.2 und 6.3 (diese Releases sind EOS), 6.4.0.0 - 6.4.3.4 sowie 7.1.0.0 - 7.1.6.4. Der Hersteller benennt die Versionen 6.4.3.5 und 7.1.6.5 als erste fehlerbereinigte Versionen und stellt die Fixes IT17363 als Sicherheitsupdates bereit. Die Version 8.1.0.0 ist nicht betroffen, da der Fix bereits enthalten ist. Workaround: Für die Version 7.1.6.0 und höher ist das 'Instrumentation Tracing' per Voreinstellung erlaubt, kann aber durch Verwendung der Einstellung 'ENABLEINSTRUMENTATION NO' abgeschaltet werden. Die sensitiven Informationen finden sich hier in Dateien mit dem Namen 'dsminstr.log'. Es empfiehlt sich, nach solchen Dateien zu suchen und diese zu löschen. Für Versionen vor 7.1.6.0 wurde 'Instrumentation Tracing' jeweils durch das Testflag 'INSTRUMENT:*' angeschaltet. Dateien mit durch diese Schwachstelle gespeicherten, möglicherweise sensitiven Informationen weisen hier die Form 'dsminstr.report.*' auf. Patch: IBM Security Bulletin 1998166 https://www-01.ibm.com/support/docview.wss?uid=swg21998166

CVE-2016-8916: Schwachstelle in IBM Tivoli Storage Manager Client ermöglicht
Ausspähen von Informationen

Im IBM Tivoli Storage Manager Client existiert eine Schwachstelle, da bei
der Verwendung des Kommandos ‘set password’ unter bestimmten Umständen
Passwortinformationen im Klartext in einer Log-Datei gespeichert werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0754/

IBM Security Bulletin 1998166:
https://www-01.ibm.com/support/docview.wss?uid=swg21998166

IBM PSIRT Blog: Password Disclosure via instrumentation log in Tivoli Storage
Manager (IBM Spectrum Protect) Client (CVE-2016-8916):
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-password-disclosure-via-instrumentation-log-in-tivoli-storage-manager-ibm-spectrum-protect-client-cve-2016-8916/

Schwachstelle CVE-2016-8916 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8916

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben