首页 > 安全钻研 > 安全传递 > 安全公告

IBM 系列产品多个缝隙安全公告

颁布功夫 2019-07-05

缝隙编号和级别

CVE编号：CVE-2019-4087，，，，，危险级别：严沉，，，，，CVSS分值：厂商自评：9.8，，，，，官方：9.8
CVE编号：CVE-2019-4088，，，，，危险级别：高危，，，，，CVSS分值：厂商自评：7.4，，，，，官方未评定
CVE编号：CVE-2019-4140，，，，，危险级别：高危，，，，，CVSS分值：厂商自评：6.3，，，，，官方：7.1
CVE编号：CVE-2019-4129，，，，，危险级别：中危，，，，，CVSS分值：厂商自评：3.1，，，，，官方：5.3
CVE编号：CVE-2019-4292，，，，，危险级别：高危，，，，，CVSS分值：厂商自评：8.8，，，，，官方：8.8
CVE编号：CVE-2019-4134，，，，，危险级别：中危，，，，，CVSS分值：厂商自评：6.1，，，，，官方：6.1

CVE编号：CVE-2019-4260，，，，，危险级别：中危，，，，，CVSS分值：厂商自评：5.3，，，，，官方：5.3

影响版本

受影响的版本

CVE-2019-4087、CVE-2019-4088、CVE-2019-4140、CVE-2019-4129：

IBM Spectrum Protect
8.1.0.0 through 8.1.7.xxx
7.1.0.0 through 7.1.9.200
CVE-2019-4292：
IBM Security Guardium 10.5
CVE-2019-4134：
IBM Planning Analytics Local v2.0
CVE-2019-4260：

Daeja ViewONE Virtual 5.0 - 5.0.5

缝隙概述

IBM披露了其一系列产品中多个关键和高严沉性缝隙，，，，，其中最严沉的缝隙存在于IBM Spectrum Protect工具中。。。。。。。。IBM Spectrum Protect（前称Tivoli Storage Manager）是美国IBM公司的一套数据�；；；；；；て教�。。。。。。。。该平台为企业提供单一节造和治理点，，，，，并支持对所有规模的虚构、物理和云环境进行备份和复原。。。。。。。。多个缝隙如下：

CVE-2019-4087

IBM Spectrum Protect Servers和Storage Agents中存在缓冲区谬误缝隙，，，，，该缝隙源于法式没有执行正确的天堑检测。。。。。。。。远程攻击者可通过发送超长的要求利用该缝隙在系统上执行肆意代码或造成服务器或Storage Agents崩溃。。。。。。。。

CVE-2019-4088

IBM Spectrum Protect Servers和Storage Agents中存在安全缝隙。。。。。。。。攻击者可借助特造的库利用该缝隙获取提升的权限。。。。。。。。

CVE-2019-4140

IBM Spectrum Protect中存在安全缝隙。。。。。。。。本地攻击者可利用该缝隙复原旧数据来代替现有的数据库。。。。。。。。

CVE-2019-4129

IBM Spectrum Protect Operations Center中存在安全缝隙，，，，，该该缝隙源于谬误新闻中蕴含有栈轨迹。。。。。。。。远程攻击者可利用该缝隙获取Operations Center框架的具体信息。。。。。。。。

CVE-2019-4292

IBM Security Guardium是美国IBM公司的一套提供数据�；；；；；；ぶ澳艿钠教�。。。。。。。。该平台蕴含自界说UI、汇报治理和流线化的审计流程构建等职能。。。。。。。。IBM Security Guardium中存在安全缝隙。。。。。。。。远程攻击者可利用该缝隙上传肆意文件，，，，，执行肆意代码。。。。。。。。

CVE-2019-4134

IBM Planning Analytics是美国IBM公司的一套业务规划分析解决规划。。。。。。。。该规划支持自动化执行业务规划、预算和分析等流程。。。。。。。。IBM Planning Analytics中存在跨站剧本缝隙。。。。。。。。远程攻击者可利用该缝隙在Web UI中注入肆意的JavaScript代码。。。。。。。。

CVE-2019-4260

IBM Daeja ViewONE Virtual是美国IBM公司的一款基于HTML5的文档和图像查看器。。。。。。。。该产品重要用于查看、注解和打印图像和文档。。。。。。。。IBM Daeja ViewONE Virtual中存在安全缝隙。。。。。。。。攻击者可利用该缝隙下载肆意服务器文件。。。。。。。。

缝隙验证

暂无POC/EXP。。。。。。。。

建复建议

目前厂商已颁布升级补丁以建复缝隙，，，，，补丁获取链接见参考链接。。。。。。。。

参考链接

https://www-01.ibm.com/support/docview.wss?uid=ibm10882472
https://www-01.ibm.com/support/docview.wss?uid=ibm10883346
https://www-01.ibm.com/support/docview.wss?uid=ibm10883236
https://www-01.ibm.com/support/docview.wss?uid=ibm10888279
https://www-01.ibm.com/support/docview.wss?uid=ibm10886607
https://www-01.ibm.com/support/docview.wss?uid=ibm10884382

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

8827太阳集团

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系8827太阳集团

安全钻研

IBM 系列产品多个缝隙安全公告

关于8827太阳集团

解决规划

安全钻研

联系8827太阳集团

7*24幼时服务热线