-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen in IBM Security Verify Access Appliance
Advisory ID : NCSC-2024-0461
Versie : 1.00
Kans : medium
CVE ID : CVE-2024-49803, CVE-2024-49804, CVE-2024-49805,
CVE-2024-49806
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Use of Hard-coded Credentials
Improper Neutralization of Special Elements used in an
OS Command ('OS Command Injection')
Execution with Unnecessary Privileges
Uitgiftedatum : 20241202
Toepassing : ibm security_verify_access
Versie(s) :
Platform(s) :
Beschrijving
IBM heeft kwetsbaarheden verholpen in IBM Security Verify Access
Appliance (Versies 10.0.0 tot 10.0.8).
De kwetsbaarheden omvatten een mogelijkheid voor remote
geauthenticeerde aanvallers om willekeurige commando's op het systeem
uit te voeren, privilege-escalatie voor lokaal geauthenticeerde niet-
administratieve gebruikers door overmatige machtigingen, en het
gebruik van hard-coded inloggegevens die de beveiliging van gevoelige
informatie in gevaar kunnen brengen. Deze kwetsbaarheden kunnen
leiden tot ongeautoriseerde toegang en manipulatie van gevoelige
configuraties, wat de integriteit van het toegangbeheer kan
compromitteren.
Mogelijke oplossingen
IBM heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie
bijgevoegde referenties voor meer informatie.
Referenties:
Reference - cveprojectv5; nvd
https://www.ibm.com/support/pages/node/7177447
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
wsDyBAEBCgAdBQJnTZIUFiEEbfBszMuom42mJgp8sECQZ3v2JPIACgkQsECQZ3v2
JPJ9jAv4rhhsG/iqk/Yg8tnDfTlhhArF+/BBD7rmY+FgoApV4Sb1sBZsf7mkhp++
tUc9EBJ5tywZr3Qf2r5JZSemNiGjRgrh41+R0JTO4KOelCh3gefPutbhmrY5V4wl
VKFyQd1EF/3y8IjK4mz8g+aLRyWJN5Qjf+JwYTam4xJC55AWqCNw7QQxlqlq2svC
6nwzVbymIcnjDD9H4gOu1A1N58reWbQkvoZz+NnHitK+2pzw+wfQF4R2Id7+ADEn
gkUYJQTRMc43VMgpSPrQUo8pdGpOh/j7DWmzv5ZRx3DW9J1Wrmins8Q+kplP5cxG
1z3qJc34H6TbZl879fpInZm6qos02ll+nBDdUPtwdwWqJHa0g5AfbtjcbINbUr0Z
eLdtPhkBhe0ZtRzZQDKCoGYRckJYzXdJ5OdZ/sT0F0QG1howixKN1oQqUflf7CYj
BUYiN0j3yocOAgtwkvBgEU60q73JBR4Bwnp3fk8TP5E6TaEOEzrGrug1h7Oj43qb
0USKqCo=
=tkCq
-----END PGP SIGNATURE-----
