SK-CERT Bezpečnostné varovanie V20250601-04
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP:CLEAR |
| CVSS Skóre |
10.0 |
| Identifikátor |
| IBM produkty – viacero kritických bezpečnostných zraniteľností |
| Popis |
| Spoločnosť IBM vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú viacero bezpečnostných zraniteľností, z ktorých je viacero označených ako kritických. Najzávažnejšia kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2025-30065 sa nachádza v produktoch IBM InfoSphere Information Server a IBM Db2, spočíva v nedostatočnej implementácii bezpečnostných mechanizmov komponentu Apache Parquet a umožňuje vzdialenému, neautentifikovanému útočníkovi vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Zneužitím ostatných bezpečnostných zraniteľností možno získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme, spôsobiť zneprístupnenie služby, eskalovať privilégiá a vykonať škodlivý kód. Zneužitie niektorých zraniteľností vyžaduje interakciu zo strany používateľa. |
| Dátum prvého zverejnenia varovania |
| 1.6.2025 |
| CVE |
| CVE-2025-4447, CVE-2025-43865, CVE-2025-43864, CVE-2025-43859, CVE-2025-3357, CVE-2025-33005, CVE-2025-33004, CVE-2025-32911, CVE-2025-31651, CVE-2025-31650, CVE-2025-31498, CVE-2025-30204, CVE-2025-30065, CVE-2025-29908, CVE-2025-2896, CVE-2025-27836, CVE-2025-27835, CVE-2025-27834, CVE-2025-27833, CVE-2025-27832, CVE-2025-27831, CVE-2025-27830, CVE-2025-27789, CVE-2025-27516, CVE-2025-27363, CVE-2025-27152, CVE-2025-27113, CVE-2025-25193, CVE-2025-25044, CVE-2025-25029, CVE-2025-25026, CVE-2025-25025, CVE-2025-24970, CVE-2025-24928, CVE-2025-24855, CVE-2025-24813, CVE-2025-24264, CVE-2025-23184, CVE-2025-22868, CVE-2025-22866, CVE-2025-21614, CVE-2025-21613, CVE-2025-21502, CVE-2024-9902, CVE-2024-9880, CVE-2024-9506, CVE-2024-9287, CVE-2024-8775, CVE-2024-8184, CVE-2024-8176, CVE-2024-8088, CVE-2024-7592, CVE-2024-7254, CVE-2024-6827, CVE-2024-6783, CVE-2024-6763, CVE-2024-6531, CVE-2024-6119, CVE-2024-57965, CVE-2024-57699, CVE-2024-56406, CVE-2024-56326, CVE-2024-56201, CVE-2024-56171, CVE-2024-55885, CVE-2024-5569, CVE-2024-5564, CVE-2024-55565, CVE-2024-55549, CVE-2024-5535, CVE-2024-52798, CVE-2024-51744, CVE-2024-50379, CVE-2024-49767, CVE-2024-49766, CVE-2024-48948, CVE-2024-47764, CVE-2024-47561, CVE-2024-47554, CVE-2024-47535, CVE-2024-4741, CVE-2024-46956, CVE-2024-46953, CVE-2024-46952, CVE-2024-46951, CVE-2024-4603, CVE-2024-45590, CVE-2024-45341, CVE-2024-45339, CVE-2024-45338, CVE-2024-45336, CVE-2024-45296, CVE-2024-45094, CVE-2024-43800, CVE-2024-43799, CVE-2024-43796, CVE-2024-43598, CVE-2024-41909, CVE-2024-40897, CVE-2024-4067, CVE-2024-4032, CVE-2024-39705, CVE-2024-39689, CVE-2024-39573, CVE-2024-39338, CVE-2024-38827, CVE-2024-38816, CVE-2024-38809, CVE-2024-38477, CVE-2024-38475, CVE-2024-38474, CVE-2024-38473, CVE-2024-33664, CVE-2024-33663, CVE-2024-32487, CVE-2024-30172, CVE-2024-30171, CVE-2024-29857, CVE-2024-29041, CVE-2024-27316, CVE-2024-25710, CVE-2024-25638, CVE-2024-2511, CVE-2024-25062, CVE-2024-24791, CVE-2024-24790, CVE-2024-23944, CVE-2024-23454, CVE-2024-22354, CVE-2024-22329, CVE-2024-21538, CVE-2024-21536, CVE-2024-21319, CVE-2024-21147, CVE-2024-20952, CVE-2024-20945, CVE-2024-20926, CVE-2024-20921, CVE-2024-20919, CVE-2024-20918, CVE-2024-12905, CVE-2024-12801, CVE-2024-12798, CVE-2024-12797, CVE-2024-12254, CVE-2024-11831, CVE-2024-11394, CVE-2024-11393, CVE-2024-11392, CVE-2024-11079, CVE-2024-10963, CVE-2024-10524, CVE-2024-10041, CVE-2024-0450, CVE-2023-6135, CVE-2023-5764, CVE-2023-5678, CVE-2023-5676, CVE-2023-5388, CVE-2023-52428, CVE-2023-52425, CVE-2023-52355, CVE-2023-51775, CVE-2023-5115, CVE-2023-50312, CVE-2023-48795, CVE-2023-4641, CVE-2023-44981, CVE-2023-42465, CVE-2023-40551, CVE-2023-40550, CVE-2023-40549, CVE-2023-40548, CVE-2023-40547, CVE-2023-40546, CVE-2023-39615, CVE-2023-38709, CVE-2023-3817, CVE-2023-3635, CVE-2023-35887, CVE-2023-34610, CVE-2023-34462, CVE-2023-3446, CVE-2023-33850, CVE-2023-31582, CVE-2023-31356, CVE-2023-31315, CVE-2023-2976, CVE-2023-28487, CVE-2023-28486, CVE-2023-28155, CVE-2023-24607, CVE-2023-24056, CVE-2023-2283, CVE-2023-22809, CVE-2023-22745, CVE-2023-22081, CVE-2023-22067, CVE-2023-20592, CVE-2023-20584, CVE-2023-1916, CVE-2023-1667, CVE-2023-1436, CVE-2023-1370, CVE-2022-48624, CVE-2022-48560, CVE-2022-48285, CVE-2022-46329, CVE-2022-45693, CVE-2022-45685, CVE-2022-45047, CVE-2022-42920, CVE-2022-40156, CVE-2022-40155, CVE-2022-40154, CVE-2022-40153, CVE-2022-40152, CVE-2022-40151, CVE-2022-40150, CVE-2022-40149, CVE-2022-3570, CVE-2022-34169, CVE-2022-3094, CVE-2022-29217, CVE-2022-26612, CVE-2022-25168, CVE-2022-24823, CVE-2022-1354, CVE-2021-43797, CVE-2021-39226, CVE-2021-38593, CVE-2021-37533, CVE-2021-37137, CVE-2021-37136, CVE-2021-36090, CVE-2021-35939, CVE-2021-35938, CVE-2021-35937, CVE-2021-35517, CVE-2021-35516, CVE-2021-35515, CVE-2021-33036, CVE-2021-31879, CVE-2021-26291, CVE-2021-25642, CVE-2021-21409, CVE-2021-21295, CVE-2021-21290, CVE-2020-8908, CVE-2020-35538, CVE-2020-15778, CVE-2020-15250, CVE-2020-11612, CVE-2019-11038, CVE-2018-5711, CVE-2018-12699, CVE-2017-9047, CVE-2017-7501, CVE-2017-7500, CVE-2017-16138, CVE-2017-16026 |
| IOC |
| – |
| Zasiahnuté systémy |
| Astronomer with IBM IBM App Connect Enterprise IBM DataStage on Cloud Pak for Data IBM Db2 IBM Engineering Lifecycle Optimization – Engineering Insights IBM Engineering Lifecycle Optimization – Publishing IBM Engineering Requirements Management DOORS Next IBM Engineering Test Management IBM Engineering Workflow Management IBM Fusion IBM Fusion HCI and IBM Fusion HCI for watsonx IBM Guardium Data Protection IBM Hardware Management Console (DS8900F, DS8A00) IBM InfoSphere Information Server IBM InfoSphere Information Server on Cloud IBM Integrated Analytics System IBM Jazz Reporting Service IBM Maximo Application Suite IBM Maximo Application Suite – IoT Component IBM Maximo Application Suite – Monitor Component IBM Netezza Performance Server IBM Observability with Instana (OnPrem) IBM Planning Analytics Local – IBM Planning Analytics Workspace IBM Process Mining IBM Rapid Infrastructure Automation IBM Spectrum Fusion IBM Spectrum Fusion HCI IBM SPSS Analytic Server IBM SPSS Collaboration and Deployment Services IBM Storage Fusion IBM Storage Fusion HCI IBM Tivoli Monitoring IBM Tivoli Network Manager IP Edition IBM Watson Discovery IBM Watson Knowledge Catalog on-prem IBM Watson Speech Services Cartridge Presnú špecifikáciu jednotlivých zasiahnutých produktov nájdete na odkazoch v sekcii ZDROJE |
| Následky |
| Vykonanie škodlivého kódu Eskalácia privilégií Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme Zneprístupnenie služby |
| Odporúčania |
| Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky. |
« Späť na zoznam
