Recursos afectados:
IBM Spectrum Protect Plus, versiones 10.1.0 – 10.1.5.
Descripción:
Se han publicado múltiples vulnerabilidades en productos IBM que podrían permitir a un atacante la ejecución remota de código, la denegación de servicio, la omisión de autenticación o el secuestro de sesiones de DNS.
Solución:
Actualizar a IBM Spectrum Protect Plus, versión 10.1.6.
Detalle:
- IBM Spectrum Protect Plus podría permitir a un atacante remoto ejecutar un código arbitrario en el sistema mediante el uso de un comando HTTP especialmente diseñado. Se ha asignado el identificador CVE-2020-4469 para esta vulnerabilidad.
- IBM Spectrum Protect Plus podría permitir a un atacante no autenticado causar una denegación de servicio o secuestrar sesiones de DNS enviando un comando HTTP, especialmente diseñado, al servidor remoto. Se ha reservado el identificador CVE-2020-4471 para esta vulnerabilidad.
- La Consola Administrativa de IBM Spectrum Protect Plus podría permitir a un atacante autentificado subir archivos arbitrarios para ejecutar código arbitrario en el servidor vulnerable. Se ha reservado el identificador CVE-2020-4470 para esta vulnerabilidad.
- IBM Spectrum Protect Plus contiene credenciales codificadas, como una contraseña o clave criptográfica, que utiliza para su propia autenticación de entrada, comunicación de salida a componentes externos o cifrado de datos internos. Se ha reservado el identificador CVE-2020-4216 para esta vulnerabilidad.
