IBM SAN Volume Controller bis 8.1.1 Private Key Information Disclosure
Es wurde eine Schwachstelle in IBM SAN Volume Controller, Storwize, Spectrum Virtualize sowie FlashSystem bis 8.1.1 entdeckt. Sie wurde als problematisch eingestuft. Dabei betrifft es eine unbekannte Funktion. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle (Private Key) ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-200 vorgenommen. Die Auswirkungen sind bekannt für die Vertraulichkeit.
Die Schwachstelle wurde am 17.05.2018 publiziert. Das Advisory findet sich auf exchange.xforce.ibmcloud.com. Die Identifikation der Schwachstelle wird seit dem 13.12.2017 mit CVE-2018-1465 vorgenommen. Das Ausnutzen erfordert eine einfache Authentisierung. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Die Beschaffenheit der Schwachstelle lässt vermuten, dass ein Exploit momentan zu etwa USD $5k-$25k gehandelt werden wird (Preisberechnung vom 05/18/2018).
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Die Schwachstellen 117956, 117957, 117958 und 117959 sind ähnlich.
CPE
- cpe:/a:ibm:san_volume_controller:6.1
- cpe:/a:ibm:san_volume_controller:6.2
- cpe:/a:ibm:san_volume_controller:6.3
- cpe:/a:ibm:san_volume_controller:6.4
- cpe:/a:ibm:san_volume_controller:7.1
- cpe:/a:ibm:san_volume_controller:7.2
- cpe:/a:ibm:san_volume_controller:7.3
- cpe:/a:ibm:san_volume_controller:7.4
- cpe:/a:ibm:san_volume_controller:7.5
- cpe:/a:ibm:san_volume_controller:7.6
- cpe:/a:ibm:san_volume_controller:7.6.1
- cpe:/a:ibm:san_volume_controller:7.7
- cpe:/a:ibm:san_volume_controller:7.7.1
- cpe:/a:ibm:san_volume_controller:7.8
- cpe:/a:ibm:san_volume_controller:7.8.1
- cpe:/a:ibm:san_volume_controller:8.1
- cpe:/a:ibm:san_volume_controller:8.1.1
- cpe:/a:ibm:storwize:6.1
- cpe:/a:ibm:storwize:6.2
- cpe:/a:ibm:storwize:6.3
- cpe:/a:ibm:storwize:6.4
- cpe:/a:ibm:storwize:7.1
- cpe:/a:ibm:storwize:7.2
- cpe:/a:ibm:storwize:7.3
- cpe:/a:ibm:storwize:7.4
- cpe:/a:ibm:storwize:7.5
- cpe:/a:ibm:storwize:7.6
- cpe:/a:ibm:storwize:7.6.1
- cpe:/a:ibm:storwize:7.7
- cpe:/a:ibm:storwize:7.7.1
- cpe:/a:ibm:storwize:7.8
- cpe:/a:ibm:storwize:7.8.1
- cpe:/a:ibm:storwize:8.1
- cpe:/a:ibm:storwize:8.1.1
- cpe:/a:ibm:spectrum_virtualize:6.1
- cpe:/a:ibm:spectrum_virtualize:6.2
- cpe:/a:ibm:spectrum_virtualize:6.3
- cpe:/a:ibm:spectrum_virtualize:6.4
- cpe:/a:ibm:spectrum_virtualize:7.1
- cpe:/a:ibm:spectrum_virtualize:7.2
- cpe:/a:ibm:spectrum_virtualize:7.3
- cpe:/a:ibm:spectrum_virtualize:7.4
- cpe:/a:ibm:spectrum_virtualize:7.5
- cpe:/a:ibm:spectrum_virtualize:7.6
- cpe:/a:ibm:spectrum_virtualize:7.6.1
- cpe:/a:ibm:spectrum_virtualize:7.7
- cpe:/a:ibm:spectrum_virtualize:7.7.1
- cpe:/a:ibm:spectrum_virtualize:7.8
- cpe:/a:ibm:spectrum_virtualize:7.8.1
- cpe:/a:ibm:spectrum_virtualize:8.1
- cpe:/a:ibm:spectrum_virtualize:8.1.1
- cpe:/a:ibm:flashsystem:6.1
- cpe:/a:ibm:flashsystem:6.2
- cpe:/a:ibm:flashsystem:6.3
- cpe:/a:ibm:flashsystem:6.4
- cpe:/a:ibm:flashsystem:7.1
- cpe:/a:ibm:flashsystem:7.2
- cpe:/a:ibm:flashsystem:7.3
- cpe:/a:ibm:flashsystem:7.4
- cpe:/a:ibm:flashsystem:7.5
- cpe:/a:ibm:flashsystem:7.6
- cpe:/a:ibm:flashsystem:7.6.1
- cpe:/a:ibm:flashsystem:7.7
- cpe:/a:ibm:flashsystem:7.7.1
- cpe:/a:ibm:flashsystem:7.8
- cpe:/a:ibm:flashsystem:7.8.1
- cpe:/a:ibm:flashsystem:8.1
- cpe:/a:ibm:flashsystem:8.1.1
CVSSv3
VulDB Base Score: 3.5VulDB Temp Score: 3.5
VulDB Vector: CVSS:3.0/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N/E:X/RL:X/RC:X
VulDB Zuverlässigkeit: Low
CVSSv2
VulDB Base Score: 1.5 (CVSS2#AV:A/AC:M/Au:S/C:P/I:N/A:N)VulDB Temp Score: 1.5 (CVSS2#E:ND/RL:ND/RC:ND)
VulDB Zuverlässigkeit: Medium
Exploiting
Klasse: Information Disclosure / Private Key (CWE-200)Lokal: Ja
Remote: Nein
Verfügbarkeit: Nein
Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt0-Day Time: 0 Tage seit gefunden
Timeline
13.12.2017 CVE zugewiesen17.05.2018 Advisory veröffentlicht
18.05.2018 VulDB Eintrag erstellt
18.05.2018 VulDB letzte Aktualisierung
Quellen
Advisory: exchange.xforce.ibmcloud.comBestätigung: ibm.com
CVE: CVE-2018-1465 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 117956, 117957, 117958, 117959, 117960, 117961, 117962, 117964
Eintrag
Erstellt: 18.05.2018Eintrag: 68.9% komplett
...
https://vuldb.com/de/?id.117963