PT-2022-25299 · Ibm · Ibm Spectrum Protect Plus
Publicado
2022-09-19
·
Atualizado
2022-09-21
·
CVE-2022-40234
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do IBM Spectrum Protect Plus anteriores à 10.1.12
Descrição
A vulnerabilidade permite que um invasor obtenha as informações da chave privada de um certificado caso o arquivo .crt gerado seja compartilhado. Isso ocorre porque as informações da chave privada são incluídas no arquivo .crt gerado ao fazer o upload de um certificado TLS para o IBM Spectrum Protect Plus.
Recomendações
Para versões anteriores à 10.1.12, atualize para a versão 10.1.12 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos arquivos .crt gerados para minimizar o risco de exploração. Evite compartilhar os arquivos .crt para impedir que invasores obtenham as informações da chave privada.
Correção
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ibm Spectrum Protect Plus