Es wurde eine Schwachstelle in IBM SAN Volume Controller, Storwize, Spectrum Virtualize sowie FlashSystem bis 8.1.1 entdeckt. Sie wurde als problematisch eingestuft. Dabei betrifft es eine unbekannte Funktion. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle (Private Key) ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-200 vorgenommen. Die Auswirkungen sind bekannt für die Vertraulichkeit.

Die Schwachstelle wurde am 17.05.2018 publiziert. Das Advisory findet sich auf exchange.xforce.ibmcloud.com. Die Identifikation der Schwachstelle wird seit dem 13.12.2017 mit CVE-2018-1465 vorgenommen. Das Ausnutzen erfordert eine einfache Authentisierung. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Die Beschaffenheit der Schwachstelle lässt vermuten, dass ein Exploit momentan zu etwa USD $5k-$25k gehandelt werden wird (Preisberechnung vom 05/18/2018).

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

Die Schwachstellen 117956, 117957, 117958 und 117959 sind ähnlich.

CPE

• cpe:/a:ibm:san_volume_controller:6.1
• cpe:/a:ibm:san_volume_controller:6.2
• cpe:/a:ibm:san_volume_controller:6.3
• cpe:/a:ibm:san_volume_controller:6.4
• cpe:/a:ibm:san_volume_controller:7.1
• cpe:/a:ibm:san_volume_controller:7.2
• cpe:/a:ibm:san_volume_controller:7.3
• cpe:/a:ibm:san_volume_controller:7.4
• cpe:/a:ibm:san_volume_controller:7.5
• cpe:/a:ibm:san_volume_controller:7.6
• cpe:/a:ibm:san_volume_controller:7.6.1
• cpe:/a:ibm:san_volume_controller:7.7
• cpe:/a:ibm:san_volume_controller:7.7.1
• cpe:/a:ibm:san_volume_controller:7.8
• cpe:/a:ibm:san_volume_controller:7.8.1
• cpe:/a:ibm:san_volume_controller:8.1
• cpe:/a:ibm:san_volume_controller:8.1.1
• cpe:/a:ibm:storwize:6.1
• cpe:/a:ibm:storwize:6.2
• cpe:/a:ibm:storwize:6.3
• cpe:/a:ibm:storwize:6.4
• cpe:/a:ibm:storwize:7.1
• cpe:/a:ibm:storwize:7.2
• cpe:/a:ibm:storwize:7.3
• cpe:/a:ibm:storwize:7.4
• cpe:/a:ibm:storwize:7.5
• cpe:/a:ibm:storwize:7.6
• cpe:/a:ibm:storwize:7.6.1
• cpe:/a:ibm:storwize:7.7
• cpe:/a:ibm:storwize:7.7.1
• cpe:/a:ibm:storwize:7.8
• cpe:/a:ibm:storwize:7.8.1
• cpe:/a:ibm:storwize:8.1
• cpe:/a:ibm:storwize:8.1.1
• cpe:/a:ibm:spectrum_virtualize:6.1
• cpe:/a:ibm:spectrum_virtualize:6.2
• cpe:/a:ibm:spectrum_virtualize:6.3
• cpe:/a:ibm:spectrum_virtualize:6.4
• cpe:/a:ibm:spectrum_virtualize:7.1
• cpe:/a:ibm:spectrum_virtualize:7.2
• cpe:/a:ibm:spectrum_virtualize:7.3
• cpe:/a:ibm:spectrum_virtualize:7.4
• cpe:/a:ibm:spectrum_virtualize:7.5
• cpe:/a:ibm:spectrum_virtualize:7.6
• cpe:/a:ibm:spectrum_virtualize:7.6.1
• cpe:/a:ibm:spectrum_virtualize:7.7
• cpe:/a:ibm:spectrum_virtualize:7.7.1
• cpe:/a:ibm:spectrum_virtualize:7.8
• cpe:/a:ibm:spectrum_virtualize:7.8.1
• cpe:/a:ibm:spectrum_virtualize:8.1
• cpe:/a:ibm:spectrum_virtualize:8.1.1
• cpe:/a:ibm:flashsystem:6.1
• cpe:/a:ibm:flashsystem:6.2
• cpe:/a:ibm:flashsystem:6.3
• cpe:/a:ibm:flashsystem:6.4
• cpe:/a:ibm:flashsystem:7.1
• cpe:/a:ibm:flashsystem:7.2
• cpe:/a:ibm:flashsystem:7.3
• cpe:/a:ibm:flashsystem:7.4
• cpe:/a:ibm:flashsystem:7.5
• cpe:/a:ibm:flashsystem:7.6
• cpe:/a:ibm:flashsystem:7.6.1
• cpe:/a:ibm:flashsystem:7.7
• cpe:/a:ibm:flashsystem:7.7.1
• cpe:/a:ibm:flashsystem:7.8
• cpe:/a:ibm:flashsystem:7.8.1
• cpe:/a:ibm:flashsystem:8.1
• cpe:/a:ibm:flashsystem:8.1.1

CVSSv3

CVSSv2

Exploiting

Gegenmassnahmen

Timeline

Quellen

Eintrag

Externe Webseite mit kompletten Inhalt öffnen