-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
######################## UPDATE 1.01 #############################
Titel : Kwetsbaarheden verholpen in IBM Spectrum Protect
Advisory ID : NCSC-2020-0472
Versie : 1.01
Kans : medium
CVE ID : CVE-2015-4000, CVE-2019-2389, CVE-2019-2894,
CVE-2019-2933, CVE-2019-2945, CVE-2019-2958,
CVE-2019-2962, CVE-2019-2964, CVE-2019-2973,
CVE-2019-2975, CVE-2019-2977, CVE-2019-2978,
CVE-2019-2981, CVE-2019-2983, CVE-2019-2987,
CVE-2019-2988, CVE-2019-2989, CVE-2019-2992,
CVE-2019-2996, CVE-2019-2999, CVE-2019-4732,
CVE-2019-16276, CVE-2019-17631, CVE-2020-1938,
CVE-2020-2583, CVE-2020-2593, CVE-2020-2604,
CVE-2020-2654, CVE-2020-2659, CVE-2020-4135,
CVE-2020-4200, CVE-2020-4204, CVE-2020-4216,
CVE-2020-4230, CVE-2020-4406, CVE-2020-4469,
CVE-2020-4470, CVE-2020-4471, CVE-2020-4477,
CVE-2020-4494
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: http://cve.mitre.org/cve/)
Schade : high
Denial-of-Service (DoS)
(Remote) code execution (Administrator/Root rechten)
Toegang tot gevoelige gegevens
Verhoogde gebruikersrechten
Uitgiftedatum : 20200617
Toepassing : IBM Spectrum Protect
Versie(s) : < 10.1
Platform(s) : Linux
Update
IBM heeft updates beschikbaar gesteld voor Spectrum Protect. Deze
updates voegen de kwetsbaarheden met kenmerk: CVE-2020-4216,
CVE-2020-4406, CVE-2020-4477 en CVE-2020-4494 toe aan deze
beveiligingsadvies. Zie "Mogelijke oplossingen" voor meer
informatie.
Beschrijving
Er zijn kwetsbaarheden verholpen in IBM Spectrum Protect. De
kwetsbaarheden stellen een kwaadwillende in staat aanvallen uit te
voeren die leiden tot de volgende categorieën schade:
* Denial-of-Service (DoS)
* (Remote) code execution (Administrator/Root rechten)
* Toegang tot gevoelige gegevens
* Verhoogde gebruikersrechten
IBM categoriseert deze kwetsbaarheden volgens de CVSSv3 methode met
een hoogste score van 9.8. De hoogste score betreft de kwetsbaarheid
genaamd Ghostcat. Met het succesvol misbruiken van deze
kwetsbaarheid krijgt de kwaadwillende volledige beschikking over een
Tomcat server.
Een applicatie als IBM Spectrum Protect wordt gebruikelijk ontsloten
binnen een beheernetwerk waar een gewone gebruiker geen toegang toe
heeft.
Mogelijke oplossingen
IBM heeft updates uitgebracht om de kwetsbaarheden te verhelpen.
Meer informatie kunt u vinden op onderstaande pagina's:
CVE-2019-2964, CVE-2019-2989, CVE-2019-4732:
https://www.ibm.com/support/pages/node/6221676
CVE-2019-2989:
https://www.ibm.com/support/pages/node/6221706
CVE-2020-4230, CVE-2020-4135, CVE-2020-4204, CVE-2020-4200:
https://www.ibm.com/support/pages/node/6221294
CVE-2019-16276:
https://www.ibm.com/support/pages/node/6221690
CVE-2020-4469, CVE-2020-4471, CVE-2020-4470:
https://www.ibm.com/support/pages/node/6221358
CVE-2019-2389:
https://www.ibm.com/support/pages/node/6221198
CVE-2019-2894, CVE-2019-2933, CVE-2019-2945, CVE-2019-2958,
CVE-2019-2962, CVE-2019-2964, CVE-2019-2973, CVE-2019-2975,
CVE-2019-2977, CVE-2019-2978, CVE-2019-2981, CVE-2019-2983,
CVE-2019-2987, CVE-2019-2988, CVE-2019-2989, CVE-2019-2992,
CVE-2019-2996, CVE-2019-2999, CVE-2019-4732, CVE-2019-17631,
CVE-2020-2583, CVE-2020-2593, CVE-2020-2604, CVE-2020-2654,
CVE-2020-2659:
https://www.ibm.com/support/pages/node/6221316
CVE-2015-4000
https://www.ibm.com/support/pages/node/6221350
CVE-2020-1938:
https://www.ibm.com/support/pages/node/6221344
CVE-2019-4732, CVE-2019-2989, CVE-2019-2964:
https://www.ibm.com/support/pages/node/6221676
CVE-2020-4216:
https://www.ibm.com/support/pages/node/6221332
CVE-2020-4406, CVE-2020-4494:
https://www.ibm.com/support/pages/node/6221448
CVE-2020-4477:
https://www.ibm.com/support/pages/node/6221388
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 502)
Charset: utf-8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=Zp6T
-----END PGP SIGNATURE-----
