یک آسیبپذیری با شناسه CVE-2023-50957 و شدت بالا 8.0 در IBMامکان انجام اقدامات غیر مجاز را برای مهاجم فراهم میآورد. در این آسیبپذیری بهدلیل آن که اطلاعات محرمانه (اطلاعات پیکربندی) Kubernetes در محیط داخلی IBM Storage Defender Connection Manager با استفاده از کدگذاری base64 به جای رمزنگاری مبهم (obfuscated) میشوند (اطلاعات در Kubernetes بطور پیشفرض رمزنگاری نشدهاند)، مهاجم با سطح دسترسی root میتواند این اطلاعات را بخواند و پس از بهدست آوردن دادههای رمزنگاری شده از طریق کلید متن واضح (clear text) ذخیرهسازی شده، اقدامات غیرمجاز را انجام دهد.
محصولات تحت تأثیر
این آسیبپذیری محصولIBM Storage Defender - Resiliency Service نسخه 2.0 را تحت تاثیر قرار میدهد.
توصیههای امنیتی
توصیه میشود کاربران در اسرع وقت نسبت به ارتقاء IBM Storage Defender - Resiliency Service به نسخه 2.0.1 و نسخههای جدیدتر اقدام نمایند.
منبع خبر:
- 55