云安全日报201207：IBM数据保护平台发现任意代码执行高危漏洞，需要尽快升级

IBM Spectrum Protect Plus是美国IBM公司的一套数据保护平台。该平台为企业提供单一控制和管理点，并支持对所有规模的虚拟、物理和云环境进行备份和恢复。

12月4日晚,IBM发布了紧急安全更新,修复了IBM Spectrum Protect Plus数据保护平台中发现的一些重要漏洞。以下是漏洞详情：

漏洞详情

1.CVE-2020-1747 CVSS评分：9.8 高危

来源：https://www.ibm.com/support/pages/node/6376724

PyYAML(用来解析YAML序列化数据格式的一种Python库)中存在一个漏洞，该漏洞可能允许远程攻击者在系统上执行任意代码。这是由通过full_load方法或FullLoader加载程序处理不受信任的YAML文件时的错误引起的。通过滥用python / object / new构造函数，攻击者可以利用此漏洞在系统上执行任意代码。此漏洞可能会影响Kubernetes的IBM Spectrum Protect Plus容器代理和IBM Spectrum Protect PlusMicrosoft®Windows File Systems代理。

2.CVE-2020-7746 CVSS评分：7.5 高

来源：https://www.ibm.com/support/pages/node/6378272

Node.js chart.js模块容易受到拒绝服务的攻击，这是由处理options参数时的原型污染缺陷引起的。通过发送特制的请求，远程攻击者可以利用此漏洞导致拒绝服务状况。此漏洞会影响IBM Spectrum Protect Plus。

3.CVE-2020-26137 CVSS评分：6.1 中

来源：https://www.ibm.com/support/pages/node/6378264

Urllib3(urllib3是一个功能强大的Python HTTP工具)容易受到CRLF注入的攻击，这可能允许远程攻击者执行跨站点脚本，缓存中毒或会话劫持攻击。具体是通过在putrequest（）的第一个参数中插入CR和LF控制字符，远程攻击者可以利用此漏洞对易受攻击的系统进行各种攻击，包括跨站点脚本编写，缓存中毒或会话劫持。此漏洞可能会影响Kubernetes的IBM Spectrum Protect Plus容器代理和IBM Spectrum Protect PlusMicrosoft®Windows File Systems代理。

受影响产品和版本

适用于Kubernetes的IBM Spectrum Protect Plus容器代理（Linux） 10.1.5-10.1.6

IBM Spectrum Protect Plus Microsoft文件系统代理（Windows） 10.1.6

解决方案

对于Linux和Windows平台：

升级Spectrum Protect Plus 10.1.7版本可修复

查看更多漏洞信息 以及升级请访问官网：

https://www.ibm.com/blogs/psirt/

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!