详情

IBM Spectrum Protect Plus是美国IBM公司的一套数据保护平台。该平台为企业提供单一控制和管理点，并支持对所有规模的虚拟、物理和云环境进行备份和恢复。

12月4日晚,IBM发布了紧急安全更新,修复了IBM Spectrum Protect Plus数据保护平台中发现的一些重要漏洞。以下是漏洞详情:

漏洞详情

-2020-1747 CVSS评分: 高危

来源:/support/pages/node/

PyYAML(用来解析YAML序列化数据格式的一种Python库)中存在一个漏洞，该漏洞可能允许远程攻击者在系统上执行任意代码。这是由通过full_load方法或FullLoader加载程序处理不受信任的YAML文件时的错误引起的。通过滥用python / object / new构造函数，攻击者可以利用此漏洞在系统上执行任意代码。此漏洞可能会影响Kubernetes的IBM Spectrum Protect Plus容器代理和IBM Spectrum Protect PlusMicrosoft®Windows File Systems代理。

-2020-7746 CVSS评分: 高

来源:/support/pages/node/

模块容易受到拒绝服务的攻击，这是由处理options参数时的原型污染缺陷引起的。通过发送特制的请求，远程攻击者可以利用此漏洞导致拒绝服务状况。此漏洞会影响IBM Spectrum Protect Plus。

-2020-26137 CVSS评分: 中

来源:/support/pages/node/

Urllib3(urllib3是一个功能强大的Python HTTP工具)容易受到CRLF注入的攻击，这可能允许远程攻击者执行跨站点脚本，缓存中毒或会话劫持攻击。具体是通过在putrequest（）的第一个参数中插入CR和LF控制字符，远程攻击者可以利用此漏洞对易受攻击的系统进行各种攻击，包括跨站点脚本编写，缓存中毒或会话劫持。此漏洞可能会影响Kubernetes的IBM Spectrum Protect Plus容器代理和IBM Spectrum Protect PlusMicrosoft®Windows File Systems代理。

受影响产品和版本

适用于Kubernetes的IBM Spectrum Protect Plus容器代理（Linux） -

IBM Spectrum Protect Plus Microsoft文件系统代理（Windows）

解决方案

对于Linux和Windows平台:

升级Spectrum Protect Plus 版本可修复

查看更多漏洞信息 以及升级请访问官网:

/blogs/psirt/