详情

IBM® Spectrum Protect™ Plus 是IBM公司一种混合多云的现代化数据保护方法，用于虚拟环境的数据保护和可用性解决方案，可在几分钟内完成部署，并在一小时内提供安全保护。它将数据保护化繁为简，无论是存储在物理环境、虚拟环境、软件定义的环境还是云环境中的数据都是如此。它可作为独立解决方案来实施，或者与 IBM Spectrum Protect 环境集成，从而大规模高效转移副本用于长期存储和数据监管。不过根据IBM 8月22日安全公告显示，IBM混合多云安全解决方案发现高危漏洞，以下是漏洞详情:

漏洞详情

来源:

/blogs/psirt/security-bulletin-vulnerability-in-bash-affects-ibm-spectrum-protect-plus-cve-2019-9924-3/

/blogs/psirt/security-bulletin-multiple-java-vulnerabilities-affect-ibm-spectrum-protect-plus-cve-2020-2805-cve-2020-2803-cve-2020-2830-cve-2020-2781-cve-2020-2800-cve-2020-2757-cve-2020-2756-cve-2020-275-2/

: CVE-2019-9924

CVSS评分: 高危

此漏洞是由于IBM BASH中漏洞导致的。 由于无法阻止shell用户修改rbash中的BASH_CMDS失败，Bash可能允许经过身份验证的远程攻击者在系统上执行任意命令。通过修改BASH_CMDS，攻击者可以利用此漏洞，在具有Shell权限的情况下在系统上执行任意命令。

: CVE-2020-2805

CVSS评分: 高危

Java SE中与Java SE库组件相关的未指定漏洞可能允许未经身份验证的攻击者控制系统。

: CVE-2020-2803

CVSS评分: 高危

一种多个Oracle产品中未指定的漏洞可能使未经身份验证的攻击者控制系统。

: CVE-2020-2830

CVSS评分: 中等

: CVE-2020-2800

CVSS评分: 中等

Java SE中与Java SE轻量级HTTP服务器组件相关的未指明漏洞可允许未经验证的攻击者造成低机密性影响、低完整性影响和无可用性影响。

: CVE-2020-2757

CVSS评分: 中低

一种与Java SE序列化组件相关的Java SE中未指定的漏洞可能允许未经身份验证的攻击者导致拒绝服务，从而导致使用未知攻击媒介的可用性降低。

: CVE-2020-2756

CVSS评分: 中低

Java SE中与Java SE序列化组件相关的未指定漏洞可能允许未经身份验证的攻击者使用未知攻击向量来拒绝服务，从而导致可用性降低。

: CVE-2020-2755

CVSS评分: 中低

一种Java SE中与Java SE scripting组件有关的未指定漏洞可能允许未经身份验证的攻击者拒绝服务，从而导致使用未知攻击媒介的可用性降低。

: CVE-2020-2754

CVSS评分: 中低

一种与Java SE scripting组件相关的Java SE中未指定的漏洞可能允许未经身份验证的攻击者使用未知攻击向量来导致拒绝服务，从而导致可用性降低。

受影响产品和版本

IBM Spectrum Protect Plus -

解决方案

IBM Spectrum Protect Plus ifix3修复了上述漏洞

查看更多漏洞信息 以及升级请访问官网:

/blogs/psirt/