IBM SpectRuM Protect Plus是IBM公司推出的一款数据保护平台,旨在为企业提供集中控制和管理功能,支持虚拟、物理及云环境的备份与恢复。
在12月4日,IBM发布了紧急安全更新,以修复在IBM SpectRuM Protect Plus平台上发现的一些关键漏洞。以下是具体漏洞信息:
漏洞信息
1. CVE-2020-1747 CVSS评分:9.8(高危)
来源:链接
在PYYAML(用于解析YAML序列化数据格式的Python库)中检测到一个漏洞,可能允许远程攻击者在系统上执行任意代码。该漏洞源于通过full_load方法或FullloadeR加载不可信YAML文件时的错误。攻击者可以利用Python / object / new构造函数,借此在系统上执行任意代码。此漏洞可能影响KubeRnetes的IBM SpectRuM Protect Plus容器代理和IBM SpectRuM Protect Plus Microsoft® Windows文件系统代理。
2. CVE-2020-7746 CVSS评分:7.5(高)
来源:链接
Node.js的chaRt.js模块存在拒绝服务攻击的风险,此问题源于处理options参数时的原型污染缺陷。通过发送特制请求,远程攻击者能够利用该漏洞导致拒绝服务。此漏洞会影响IBM SpectRuM Protect Plus。
3. CVE-2020-26137 CVSS评分:6.1(中)
来源:链接
URllib3(一个功能强大的Python HTTP工具)也容易受到CRLF注入攻击,可能使远程攻击者执行跨站点脚本、缓存中毒或会话劫持。具体而言,攻击者可以在putrequest()的第一个参数中插入CR和LF控制字符,利用该漏洞对易受攻击的系统进行各类攻击,包括跨站点脚本、缓存中毒或会话劫持。此漏洞可能影响KubeRnetes的IBM SpectRuM Protect Plus容器代理和IBM SpectRuM Protect Plus Microsoft® Windows文件系统代理。
受影响的产品与版本
适用于KubeRnetes的IBM SpectRuM Protect Plus容器代理(Linux)版本:10.1.5-10.1.6
IBM SpectRuM Protect Plus Microsoft文件系统代理(Windows)版本:10.1.6
解决方案
对于Linux和Windows平台:
请升级到SpectRuM Protect Plus 10.1.7版本以解决上述问题。
欲获取更多漏洞信息和升级细节,请访问官网:
链接
[[[IMG_1]]]
[[[IMG_2]]]
[[[IMG_3]]]
