Kritische Lücke im Python-Framework PyYAML bedroht IBM Spectrum Protect
IBM hat unter anderem für IBM Db2 und Spectrum Protect wichtige Sicherheitsupdates veröffentlicht.
- Dennis Schirrmacher
Angreifer könnten das Datenbanksystem Db2 und die Server-Schutzlösung Spectrum Protect attackieren. Sind Attacken erfolgreich, könnte Software abstürzen (DoS) und Informationen leaken. In einigen Fällen ist sogar die Ausführung von Schadcode vorstellbar.
Um verwundbare und gepatchte Versionen ausfindig zu machen, sollten Admins die unterhalb dieser Meldung verlinkten Warnhinweise studieren.
Die gefährlichste Lücke (CVE-2020-1747) betrifft das Python-Framework PyYAML, das Spectrum Protect Plus Container (Linux) und Spectrum Protect Plus Microsoft File Systems Agent (Windows) einsetzt. Die Sicherheitslücke gilt als "kritisch". Aufgrund eines Fehlers kommt es zu Problemen bei der Verarbeitung von nicht vertrauenswürdigen YAML-Dateien. Schadcode-Attacken sollen aus der Ferne möglich sein.
Davon sind unter Linux die Versionen 10.1.5 bis 10.1.6 und unter Windows 10.1.6 betroffen. Die Ausgabe 10.1.7 ist den Entwicklern zufolge gegen diese Attacken abgesichert.
Mehrere Schwachstellen in Db2 sind mit dem Bedrohungsgrad "hoch" eingestuft. Hier könnten Angreifer zum Beispiel Speicherfehler auslösen und so beispielsweise Schadcode mit Root-Rechten ausführen. Davon sind Linux, Unix und Windows betroffen.
Liste nach Bedrohungsgrad absteigend sortiert:
- Vulnerability in PyYAML affects IBM Spectrum Protect Plus Container and Microsoft File Systems Agents (CVE-2020-1747)
- IBM Db2 is vulnerable to buffer overflow leading to a privileged escalation (CVE-2020-4363)
- IBM Db2 could allow a local authenticated attacker to execute arbitrary code on the system, caused by DLL search order hijacking vulnerability in Microsoft Windows client. (CVE-2020-4739)
- Upgrade to IBP v2.5.1 to address recent concerns/issues with Golang versions other than 1.14.7
- Denial of Service Vulnerability in Chart.js affects IBM Spectrum Protect Plus (CVE-2020-7746)
- IBM Db2 is vulnerable to a denial of service attack (CVE-2020-4420)
- IBM Db2 is vulnerable to an information disclosure. (CVE-2020-4386)
- IBM Db2 is vulnerable to an information disclosure. (CVE-2020-4387)
- Vulnerability in Urllib3 affects IBM Spectrum Protect Container and Microsoft File Systems Agents (CVE-2020-26137)
- Multiple vulnerabilities of Mozilla Firefox (less than Firefox 68.11.0 ESR) hava affected Synthetic Playback Agent 8.1.4.0-8.1.4 IF11 + ICAM2019.3.0 - 2020.2.0
- IBM Db2 may be vulnerable to a Denial of Service attack (CVE-2020-4355)
- IBM Db2 is vulnerable to an information disclosure and denial of service (CVE-2020-4414)
- Multiple vulnerabilities may affect IBM SDK, Java Technology Edition
- Multiple Vulnerabilities in IBM Java SDK affect WebSphere Application Server October 2020 CPU
(des)