IBM усунула множинні серйозні баги в різних лінійках продуктів, через які зловмисники можуть отримати віддалений доступ до систем.
Зокрема, в інструменті Spectrum Protect (забезпечує масштабний захист даних) знайдені проблеми, найбільш серйозні з яких можуть надати зловмисникам доступ до віддаленого виконання довільного коду на уразливих системах.
В цілому фахівці IBM виявили сім багів в інструментах зберігання і управління даними, включаючи рішення для аналізу даних Planning Analytics, платформу захисту даних Security Guardium і в Daeja ViewONE.
Найнебезпечнішою проблемою виявилася CVE-2019-4087, що отримала оцінку 9,8 балів із 10 можливих за шкалою CVSS. Вона зачіпає версії платформи 7.1 і 8.1. Уразливість може бути проексплуатована шляхом відправлення надмірно довгого запиту, який приведе до переповнення буфера і дозволить виконати довільний код на системі або викликати збій сервера або агента зберігання.
Spectrum Protect також містить баг (CVE-2019-4088), за допомогою якого локальний атакуючий може підвищити права на системі. Уразливість можна проексплуатувати шляхом завантаження спеціально сформованої бібліотеки через модуль “dsmqsan” платформи. Таким чином локальний зловмисник може отримати права суперкористувача на системі.
Також у рішенні була виправлена уразливість (CVE-2019-4140), що дозволяє локальному користувачеві замінити існуючі бази даних шляхом відновлення старих даних. Крім того, був усунутий баг (CVE-2019-4129), за допомогою якої атакуючий може отримати віддалений доступ до конфіденційної інформації.
Користувачам рекомендується оновити Spectrum Protect до версій 8.1.8 або 7.1.9.300.
Інструмент IBM Security Guardium, призначений для запобігання витоку з баз даних і сховищ, містить уразливість (CVE-2019-4292), за допомогою якої зловмисник може віддалено завантажити довільний файл, а потім виконати довільний код на уразливому web-сервері. Ступінь небезпеки уразливості оцінюється в 8,8 балів за шкалою CVSS.
У рішеннях Planning Analytics 2.0 і Daeja ViewONE Virtual 5.0 – 5.0.5 були виявлені дві уразливості (CVE-2019-4134 і CVE-2019-4260), що надають доступ до облікових даних і конфіденційної інформації.
До речі, Microsoft випустила оновлення Android-додатку “Диспетчер Вашого телефону”, який дозволяє взаємодіяти з ПК на Windows за допомогою смартфону на Android.
Також уразливість в офіційному додатку відомого циркового колективу Cirque du Soleil виявили фахівці антивірусної компанії ESET.
Окрім цього, Кіберкомандування США (United States Cyber Command) попередило про експлуатацію кіберзлочинцями уразливості в поштовому клієнті Outlook з метою впровадження шкідливого програмного забезпечення в урядові мережі.
