Vulnerabilidad de inyección de parámetros en IBM Spectrum Scale

Fecha de publicación 26/12/2019
Importancia
4 - Alta
Recursos Afectados

IBM Elastic Storage Server, versiones:

  • desde 5.3.0, hasta 5.3.4.1;
  • desde 5.0.0, hasta 5.2.7.0;
  • desde 4.5.0, hasta 4.6.0.0;
  • desde 4.0.0, hasta 4.0.6.0.
Descripción

IBM Elastic Storage Server está afectado por una vulnerabilidad en IBM Spectrum Scale, donde se pueden obtener privilegios de root inyectando parámetros en los archivos setuid.

Solución
  • Para IBM Elastic Storage Server, versiones desde 5.0.0, hasta 5.3.4.1, actualizar a la versión 5.3.4.2;
  • Para IBM Elastic Storage Server, versiones desde 5.0.0, hasta 5.2.7.0, actualizar a la versión 5.2.8;
  • Si no es posible actualizar a las versiones 5.3.2.0 o 5.2.5 de IBM Elastic Storage Server, contactar con IBM Service para obtener un efix:
    • para IBM Elastic Storage Server, versiones desde 5.3.0.0, hasta 5.3.4.1, aplicar APAR IJ18477;
    • para IBM Elastic Storage Server, versiones desde 5.0.0.0, hasta 5.2.7.0, aplicar APAR IJ18518;
    • para IBM Elastic Storage Server, versiones desde 4.0.0, hasta 4.6.0, aplicar APAR IJ18518.
Detalle

Se ha identificado una vulnerabilidad en todos los niveles de IBM Spectrum Scale, versiones desde 5.0.0.0, hasta 5.0.3.2 y desde 4.2.0.0, hasta 4.2.3.17, que podría permitir que un atacante local obtuviera privilegios de root inyectando parámetros en los archivos setuid. Se ha asignado el identificador CVE-2019-4558 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Security Bulletin: IBM Spectrum Scale for IBM Elastic Storage Server is affected where the local attacker can obtain root privilege by injecting parameters into setuid files (CVE-2019-4558)
Etiquetas