Múltiples vulnerabilidades en productos IBM

Fecha de publicación 15/06/2020
Importancia
4 - Alta
Recursos Afectados

IBM Spectrum Protect Plus, versiones 10.1.0 - 10.1.5.

Descripción

Se han publicado  múltiples vulnerabilidades en productos IBM que podrían permitir a un atacante la ejecución remota de código, la denegación de servicio, la omisión de autenticación o el secuestro de sesiones de DNS.

Solución

Actualizar a IBM Spectrum Protect Plus, versión 10.1.6.

Detalle
  • IBM Spectrum Protect Plus podría permitir a un atacante remoto ejecutar un código arbitrario en el sistema mediante el uso de un comando HTTP especialmente diseñado. Se ha asignado el identificador CVE-2020-4469 para esta vulnerabilidad.
  • IBM Spectrum Protect Plus podría permitir a un atacante no autenticado causar una denegación de servicio o secuestrar sesiones de DNS enviando un comando HTTP, especialmente diseñado, al servidor remoto. Se ha reservado el identificador CVE-2020-4471 para esta vulnerabilidad.
  • La Consola Administrativa de IBM Spectrum Protect Plus podría permitir a un atacante autentificado subir archivos arbitrarios para ejecutar código arbitrario en el servidor vulnerable. Se ha reservado el identificador CVE-2020-4470 para esta vulnerabilidad.
  • IBM Spectrum Protect Plus contiene credenciales codificadas, como una contraseña o clave criptográfica, que utiliza para su propia autenticación de entrada, comunicación de salida a componentes externos o cifrado de datos internos. Se ha reservado el identificador CVE-2020-4216 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Security Bulletin: Multiple vulnerabilities in IBM Spectrum Protect Plus (CVE-2020-4469, CVE-2020-4471, CVE-2020-4470)
Security Bulletin: IBM Spectrum Protect Plus is vulnerable to authentication bypass (CVE-2020-4216)
Etiquetas