PT-2022-15409 · Ibm · Ibm Spectrum Protect Plus
Publicado
2022-06-06
·
Atualizado
2022-06-14
·
CVE-2022-22396
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
IBM Spectrum Protect Plus, versões 10.1.0.0 a 10.1.9.3
Descrição
O problema consiste na impressão de credenciais em texto simples no arquivo de log do virgo sob determinadas condições. Essas credenciais podem incluir as do vSnap remoto, dos destinos de offload ou do VADP, dependendo da operação que estiver sendo realizada. No entanto, credenciais que utilizam chaves de API ou certificados não são afetadas.
Recomendações
Para as versões 10.1.0.0 a 10.1.9.3, considere restringir o acesso ao arquivo de log virgo para minimizar o risco de exposição de credenciais até que um patch esteja disponível. Como solução alternativa temporária, revise e limite o uso de operações que envolvam a impressão de credenciais no arquivo de log.
Correção
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ibm Spectrum Protect Plus