Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad de inyección de parámetros en IBM Spectrum Scale

Vulnerabilidad de inyección de parámetros en IBM Spectrum Scale

Fecha de publicación: 
26/12/2019
Importancia: 
4 - Alta
Recursos afectados: 

IBM Elastic Storage Server, versiones:

  • desde 5.3.0, hasta 5.3.4.1;
  • desde 5.0.0, hasta 5.2.7.0;
  • desde 4.5.0, hasta 4.6.0.0;
  • desde 4.0.0, hasta 4.0.6.0.
Descripción: 

IBM Elastic Storage Server está afectado por una vulnerabilidad en IBM Spectrum Scale, donde se pueden obtener privilegios de root inyectando parámetros en los archivos setuid.

Solución: 
  • Para IBM Elastic Storage Server, versiones desde 5.0.0, hasta 5.3.4.1, actualizar a la versión 5.3.4.2;
  • Para IBM Elastic Storage Server, versiones desde 5.0.0, hasta 5.2.7.0, actualizar a la versión 5.2.8;
  • Si no es posible actualizar a las versiones 5.3.2.0 o 5.2.5 de IBM Elastic Storage Server, contactar con IBM Service para obtener un efix:
    • para IBM Elastic Storage Server, versiones desde 5.3.0.0, hasta 5.3.4.1, aplicar APAR IJ18477;
    • para IBM Elastic Storage Server, versiones desde 5.0.0.0, hasta 5.2.7.0, aplicar APAR IJ18518;
    • para IBM Elastic Storage Server, versiones desde 4.0.0, hasta 4.6.0, aplicar APAR IJ18518.
Detalle: 

Se ha identificado una vulnerabilidad en todos los niveles de IBM Spectrum Scale, versiones desde 5.0.0.0, hasta 5.0.3.2 y desde 4.2.0.0, hasta 4.2.3.17, que podría permitir que un atacante local obtuviera privilegios de root inyectando parámetros en los archivos setuid. Se ha asignado el identificador CVE-2019-4558 para esta vulnerabilidad.

Encuesta valoración