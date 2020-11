Seit Mitte verganger Woche, als wir in einem heisec-Alerts eine Schwachstelle in IBM DB2 thematisierten, hat IBM sechs neue Sicherheitshinweise zu Schwachstellen mit "High"-Einstufung veröffentlicht. Betroffen sind die Produkte Netezza Host Management, Resilient, Spectrum Protect Plus und Spectrum Protect Extended Edition sowie TNPM Wireline. Einige der Schwachstellen sind aus der Ferne und ohne Authentifizierung ausnutzbar. Die bereitstehenden Updates beziehungsweise Workarounds sollten zeitnah eingespielt und umgesetzt werden.

Darüber hinaus sind neue Sicherheitshinweise verfügbar, die sich mit "Low"- und "Medium"-Schwachstellen in verschiedenen Produkten befassen; außerdem wurden einige ältere Advisories um neue Informationen ergänzt. Alle Advisories sind aus IBMs Product Security Incident Response Blog abrufbar.

Lesen Sie auch Datenbanksystem: Eine Lücke in IBM Db2 gefährdet Linux, Unix und Windows

"High"-Schwachstellen im Überblick

Die Sicherheitsprobleme in Netezza fußen auf mehreren Linux Kernel-Schwachstellen, die einem lokalen Angreifer die Ausführung beliebigen Programmcodes auf verwundbaren Systemen ermöglichten. Betroffen sind Netezza-Versionen ab 5.4.9.0; zur Absicherung sind manuelle Schritte (Blacklisting einzelner Kernelmodule) erforderlich, die IBM im Advisory ausführlich erläutert.

Auch im Falle von Spectrum Protect Plus ist "externer" Code, nämlich aus Python 3.8.4, für Schwachstellen verantwortlich. Auch hier war unter anderem Codeausführung durch einen lokalen Angreifer möglich – und zwar in Spectrum Protect Plus 10.1.6 unter Windows. Ein Update auf Version 10.1.7 sichert aber auch Linux-Systeme gegen Angriffe ab: Ein entfernter Angreifer hätte hier dank hardgecodeter Zugangsdaten seine Rechte ausweiten können.

In IBM Resilient SOAR 38.0 unter Linux war eine ältere Version des IBM JDK verantwortlich für Angriffsmöglichkeiten aus der Ferne; ein Update auf die Resilient-Version 39.0 nebst JDK beseitigt das Problem. Nähere Informationen zu diesen und den übrigen "High"-Schwachstellen nennen die folgenden Sicherheitshinweise:

(ovw)