In den SAN-Controllern der Serie Storwize von IBM steckt eine Lücke, mit der ein Angreifer die Konfiguration ändern und auch Daten löschen kann. Abhilfe schafft ein Firmwareupdate, das schon bereitsteht.
In einem ausführlichen Security-Bulletin warnt IBM vor einer Lücke in allen Produkten der Serie Storwize. Diese Produktfamilie aus SAN-Controllern und kompletten Storage-Systemen weist eine Lücke auf, die im Framework Apache Struts steckt. Um sie zu nutzen, muss der Zugriff aber aus dem lokalen Netzwerk erfolgen, falls nicht die Ports des Systems über das Internet zugänglich gemacht wurden.
Ein Angreifer kann dabei mit Administratorrechten auf die Systeme zugreifen, ohne dass er über die richtigen Login-Daten verfügt. Damit stehen alle Möglichkeiten offen, es ist auch möglich, alle Daten eines Arrays zu löschen. Betroffen sind alle Storwize-Produkte, die mit der Firmware unterhalb der Versionsnummer 7.1.0.5 arbeiten.
IBM rät, die Systeme schnell auf diese Version zu aktualisieren. Die Links zu den Updates mitsamt einer Liste aller betroffenen Geräte finden sich direkt bei IBM.
golem.de
In einem ausführlichen Security-Bulletin warnt IBM vor einer Lücke in allen Produkten der Serie Storwize. Diese Produktfamilie aus SAN-Controllern und kompletten Storage-Systemen weist eine Lücke auf, die im Framework Apache Struts steckt. Um sie zu nutzen, muss der Zugriff aber aus dem lokalen Netzwerk erfolgen, falls nicht die Ports des Systems über das Internet zugänglich gemacht wurden.
Ein Angreifer kann dabei mit Administratorrechten auf die Systeme zugreifen, ohne dass er über die richtigen Login-Daten verfügt. Damit stehen alle Möglichkeiten offen, es ist auch möglich, alle Daten eines Arrays zu löschen. Betroffen sind alle Storwize-Produkte, die mit der Firmware unterhalb der Versionsnummer 7.1.0.5 arbeiten.
IBM rät, die Systeme schnell auf diese Version zu aktualisieren. Die Links zu den Updates mitsamt einer Liste aller betroffenen Geräte finden sich direkt bei IBM.
golem.de