云安全日报200915：IBM混合云数据保护解决方案发现高危漏洞，需

IBM Spectrum Protect Plus是IBM公司一种现代化的数据保护解决方案，可为混合多云环境中的VM，数据库和容器提供近乎即时的恢复，复制，保留和重用。它很容易部署为虚拟设备，并且无代理架构易于维护。它通过提高开发，测试和分析的质量和速度来释放数据的价值。通过将数据卸载到本地和基于云的对象存储以及IBM Spectrum Protect（包括对物理和虚拟磁带的支持），可以实现具有成本效益的数据保留，数据合规性和灾难恢复。

不过根据9月14日IBM安全公告显示，该数据保护解决方案爆出高危漏洞，需要尽快升级。以下是漏洞详情：

漏洞详情

来源：

https://www.ibm.com/support/pages/node/6328867

1.CVEID：CVE-2020-4703 CVSS评分： 8 高危

IBM Spectrum Protect Plus管理控制台可以允许经过身份验证的攻击者上载任意文件，这些文件可以在易受攻击的服务器上执行任意代码。此漏洞是由于先前CVE-2020-4470（IBM Spectrum Protect Plus管理控制台可以允许经过身份验证的攻击者上载任意文件，这些文件可以在易受攻击的服务器上执行任意代码）的修复不完整引起的。

2.CVEID：CVE-2020-4711 CVSS评分：6.5 高

IBM Spectrum Protect Plus可能允许远程攻击者遍历系统上的目录。攻击者可以发送特制的URL请求，其中包含“点点”序列（/../），以查看系统上的任意文件。

3. 第三方（Linux）条目：187206 CVSS评分：6.2 中

Linux内核存在写时复制安全旁路漏洞,Linux内核中的漏洞会影响IBM Spectrum Protect Plus。

4.CVEID：CVE-2020-13401 CVSS评分：6 中

Docker容易受到间接攻击，这可能会影响IBM Spectrum Protect Plus，该Docker间接攻击漏洞是由于路由器广播验证不正确引起的。通过发送恶意路由器广播，攻击者可以使用间接技术来利用此漏洞，以访问端点之间的通信通道以获得敏感信息或进一步危害系统。

受影响产品和版本

上述漏洞影响IBM Spectrum Protect Plus 10.1.0 ~ 10.1.6版本

解决方案

目前IBM官方已发布临时修复补丁，升级IBM Spectrum Protect!"Plus版本10.1.6.x的临时修订包即可修复，可参见官方修复链接：

https://www.ibm.com/support/pages/node/6254732

查看更多漏洞信息 以及升级请访问官网：

https://www.ibm.com/blogs/psirt/