新聞資訊

資訊大全

新聞

雲安全日報220630:IBM數據保護平台發現執行任意代碼漏洞,需要儘快升級

文章 作者: 日期: 30 6 月, 2022 0 則留言

相關內容 →

IBM Spectrum Protect Plus是美國IBM公司的一套數據保護平台。該平台為企業提供單一控制和管理點,並支持對所有規模的虛擬、物理和雲環境進行備份和恢復。

6月29日,IBM發佈了緊急安全更新,修復了IBM Spectrum Protect Plus數據保護平台中發現的一些重要漏洞。以下是漏洞詳情:

漏洞詳情

來源:https://www.ibm.com/support/pages/node/6596971

1.CVE-2021-4154 CVSS評分:8.8 嚴重程度:嚴重

Linux 內核可能允許經過本地身份驗證的攻擊者在系統上獲得提升的許可權,這是由於在 kernel/cgroup/cgroup-v1.c 中的 cgroup1_parse_param 中發現的 use-after-free 漏洞引起的。通過利用 fsconfig syscall 參數,攻擊者可以利用此漏洞來提升許可權。

2.CVE-2021-44733 CVSS評分:8.4 嚴重程度:嚴重

Linux Kernel 可能允許本地攻擊者在系統上執行任意代碼,這是由 TEE 子系統中的 drivers/tee/tee_shm.c 中的 use-after-free 缺陷引起的。通過執行特製程序,攻擊者可以利用此漏洞執行任意代碼或在系統上造成拒絕服務條件。

3.CVE-2021-44733 CVSS評分:8.4 嚴重程度:嚴重

Linux Kernel 可能允許本地攻擊者在系統上執行任意代碼,這是由 kernel/bpf/stackmap.c 中的 prealloc_elems_and_freelist 函數中的 eBPF 乘法整數溢出引起的。通過發送特製請求,攻擊者可以利用此漏洞在系統上執行任意代碼。

4.CVE-2021-44733 CVSS評分:8.4 嚴重程度:嚴重

Linux Kernel 可能允許本地攻擊者在系統上執行任意代碼,這是由 drivers/infiniband/core/ucma.c 中的 use-after-free 缺陷引起的。通過發送特製請求,攻擊者可以利用此漏洞執行任意代碼或在系統上造成拒絕服務條件。

5.CVE-2022-0847 CVSS評分:7.8 嚴重程度:重要

由於 copy_page_to_iter_pipe 和 push_pipe 函數初始化不當,Linux 內核可能允許經過本地身份驗證的攻擊者在系統上獲得提升的許可權。通過寫入由只讀文件支持的頁面緩存中的頁面,經過身份驗證的攻擊者可以利用此漏洞獲得提升的許可權。

6.CVE-2022-0492 CVSS評分:7.8 嚴重程度:重要

Linux Kernel 可能允許經過本地身份驗證的攻擊者在系統上獲得提升的許可權,這是由 cgroups v1 release_agent 功能中的缺陷引起的。通過發送特製請求,經過身份驗證的攻擊者可以利用此漏洞獲得提升的許可權並意外繞過命名空間隔離。

7.CVE-2022-1011 CVSS評分:7.8 嚴重程度:重要

Linux Kernel 可能允許經過本地身份驗證的攻擊者在系統上獲得提升的許可權,這是由 FUSE 文件系統中的 use-after-free 缺陷引起的。通過使用 write() 函數發送特製請求,經過身份驗證的攻擊者可以利用此漏洞未經授權訪問 FUSE 文件系統中的某些數據,從而獲得提升的許可權。

8.CVE-2021-4157 CVSS評分:7.8 嚴重程度:重要

Linux內核可能允許經過本地身份驗證的攻擊者在系統上獲得提升的許可權,這是由 NFS 子系統中的越界寫入缺陷引起的。通過發送特製請求,經過身份驗證的攻擊者可以利用此漏洞獲得提升的許可權或使系統崩潰。

9.CVE-2022-0185 CVSS評分:7.8 嚴重程度:重要

Linux 內核容易受到基於堆的緩衝區溢出的影響,這是由 fs/fs_context.c 中 legacy_parse_param 函數中的整數下溢引起的。通過發送特製請求,經過身份驗證的本地攻擊者可以溢出緩衝區並以 root 許可權在系統上執行任意代碼。

受影響產品和版本

IBM Spectrum Protect Plus 10.1.0-10.1.10.2版本

解決方案

對於Linux和Windows平台:

升級Spectrum Protect Plus至10.1.11版本可修復

查看更多漏洞信息 以及升級請訪問官網:

https://www.ibm.com/blogs/psirt/

AVA娛樂城-最受歡迎台灣線上娛樂城每月超過萬名玩家成功出款,多款熱門遊戲及各種獨家優惠,首儲最高送10000,每日續儲每日送獨家電子機台優惠以及其他超多優惠活動等你來領取,AVA娛樂城是您最佳的選擇。 娛樂城是什麼? 娛樂城是網路博弈遊戲平台的總稱,網站內包含了許多遊戲,例如:百家樂、輪盤、彩票、體育競賽、電競比分、電子遊戲(老虎機)、捕魚機遊戲…等,所以總稱為「娛樂城」 娛樂城可換現金嗎? 台灣市面上的娛樂城大多都是可以換現金,且點數與現金比例是 1:1,但要注意的是娛樂城的可信度《AVA娛樂城是10年老品牌,經過時間的考驗,信譽是被大眾肯定的》 娛樂城如何存款? 娛樂城存款方法很多,ATM匯款、超商付款、虛擬貨幣、Paypal、信用卡付款,每間娛樂城的付款方式不同,用戶們可以選擇適合自己的付款來挑選娛樂城。 AVA娛樂城提供的付款方式:ATM匯款、超商付款、信用卡付款,如果有其他特殊付款需求,可以向線上客服索取與建議 為何選擇AVA娛樂城?? 「AVA娛樂城」 是台灣最受歡的線上娛樂城,有別於其他娛樂城平台,你能在這裡體驗更多不同「娛樂城遊戲」、「高額娛樂城優惠」、「個人帳務報表」等優質貼心服務、體驗。

相關內容 →

發佈留言

Categories