IBM Elastic Storage System是美国IBM公司的一款应用于大型数据量的数据管理的设备。IBM Elastic Storage® System (ESS) 是软件定义的存储,可以更轻松地为AI和大数据部署快速且高度可扩展的存储。
5月23日,IBM发布了安全更新,修复了IBM Elastic Storage System中发现的执行任意代码等高危漏洞。以下是漏洞详情:
漏洞详情
来源: https://www.ibm.com/support/pages/node/6589113
CVE-2021-4083 CVSS评分:7.4 严重程度:重要
Linux 内核可能允许本地攻击者在系统上获得提升的权限,这是由 Unix 域套接字文件处理程序的垃圾收集中的 read-after-free 内存缺陷引起的。通过同时调用 close() 和 fget() 函数来触发竞争条件,攻击者可以利用此漏洞获得提升的权限或导致系统崩溃。
受影响产品和版本
IBM Elastic Storage System 6.0.0 - 6.0.2.5
IBM Elastic Storage System 6.1.0 - 6.1.2.2
解决方案
IBM 建议通过将受影响的IBM Elastic Storage System 3000、3200 和 5000 版本升级到以下代码级别或更高级别来修复此漏洞:
V6.1.3.0
https://www.ibm.com/support/fixcentral/swg/selectFixes?parent=Software%20defined%20storage&product=ibm/StorageSoftware/IBM+Elastic+Storage+Server+(ESS)&release=6.1.0&platform=All&function=all
V6.1.2.3
https://www.ibm.com/support/fixcentral/swg/selectFixes?parent=Software%20defined%20storage&product=ibm/StorageSoftware/IBM+Elastic+Storage+Server+(ESS)&release=6.1.0&platform=All&function=all
V6.0.2.6
https://www.ibm.com/support/fixcentral/swg/selectFixes?parent=Software%20defined%20storage&product=ibm/StorageSoftware/IBM+Elastic+Storage+Server+(ESS)&release=6.0.0&platform=All&function=all
查看更多漏洞信息 以及升级请访问官网:
https://www.ibm.com/blogs/psirt/
