-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen in IBM Storage producten
Advisory ID : NCSC-2025-0074
Versie : 1.00
Kans : medium
CVE ID : CVE-2025-0159, CVE-2025-0160
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Process Control
Authentication Bypass Using an Alternate Path or
Channel
Uitgiftedatum : 20250304
Toepassing : IBM FlashSystem
IBM SAN Volume Controller
IBM Storage Virtualize
Versie(s) :
Platform(s) :
Beschrijving
IBM heeft kwetsbaarheden verholpen in IBM FlashSystem, SAN Volume
Controller, Storwize en Storage Virtualize.
De kwetsbaarheden bevinden zich in de RPCAdapter-service van
specifieke versies van IBM FlashSystem. Aanvallers kunnen door middel
van speciaal vervaardigde HTTP-verzoeken de authenticatie van de
RPCAdapter omzeilen, wat kan leiden tot ongeautoriseerde toegang tot
gevoelige gegevens en systemen. Daarnaast kunnen deze versies ook
kwetsbaar zijn voor remote aanvallen die de uitvoering van
willekeurige Java-code mogelijk maken.
Voor succesvol misbruik moet de kwaadwillende toegang hebben tot de
RPC Adapter. Omdat deze dienst bedoeld is voor service-development,
is het niet gebruikelijk deze publiek toegankelijk te hebben.
Mogelijke oplossingen
IBM heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie
bijgevoegde referenties voor meer informatie.
Referenties:
Reference - certbundde; cveprojectv5
https://www.ibm.com/support/pages/node/7184182
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----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=h7LW
-----END PGP SIGNATURE-----
