云安全日报201207:IBM数据保护平台发现任意代码执行高危漏洞,需要尽快升级

注册 Vultr VPS 送你10美金 免费玩4个月

IBM Spectrum Protect Plus是美国IBM公司的一套数据保护平台。该平台为企业提供单一控制和管理点,并支持对所有规模的虚拟、物理和云环境进行备份和恢复。

12月7日晚,IBM发布了紧急安全更新,修复了IBM Spectrum Protect Plus数据保护平台中发现的一些重要漏洞。以下是漏洞详情:

漏洞详情

1.CVE-2020-1747 CVSS评分:9.8 高危

来源:https://www.ibm.com/support/pages/node/6376724

PyYAML(用来解析YAML序列化数据格式的一种Python库)中存在一个漏洞,该漏洞可能允许远程攻击者在系统上执行任意代码。这是由通过full_load方法或FullLoader加载程序处理不受信任的YAML文件时的错误引起的。通过滥用python / object / new构造函数,攻击者可以利用此漏洞在系统上执行任意代码。此漏洞可能会影响Kubernetes的IBM Spectrum Protect Plus容器代理和IBM Spectrum Protect PlusMicrosoft®Windows File Systems代理。

2.CVE-2020-7746 CVSS评分:7.5 高

来源:https://www.ibm.com/support/pages/node/6378272

Node.js chart.js模块容易受到拒绝服务的攻击,这是由处理options参数时的原型污染缺陷引起的。通过发送特制的请求,远程攻击者可以利用此漏洞导致拒绝服务状况。此漏洞会影响IBM Spectrum Protect Plus。

3.CVE-2020-26137 CVSS评分:6.1 中

来源:https://www.ibm.com/support/pages/node/6378264

Urllib3(urllib3是一个功能强大的Python HTTP工具)容易受到CRLF注入的攻击,这可能允许远程攻击者执行跨站点脚本,缓存中毒或会话劫持攻击。具体是通过在putrequest()的第一个参数中插入CR和LF控制字符,远程攻击者可以利用此漏洞对易受攻击的系统进行各种攻击,包括跨站点脚本编写,缓存中毒或会话劫持。此漏洞可能会影响Kubernetes的IBM Spectrum Protect Plus容器代理和IBM Spectrum Protect PlusMicrosoft®Windows File Systems代理。

受影响产品和版本

适用于Kubernetes的IBM Spectrum Protect Plus容器代理(Linux) 10.1.5-10.1.6

IBM Spectrum Protect Plus Microsoft文件系统代理(Windows) 10.1.6

解决方案

对于Linux和Windows平台:

升级Spectrum Protect Plus 10.1.7版本可修复

查看更多漏洞信息 以及升级请访问官网:

https://www.ibm.com/blogs/psirt/

注册 Vultr VPS 送你10美金 免费玩4个月