IBM Spectrum Protect Plus是IBM公司一种现代化的数据保护解决方案，可为混合多云环境中的VM，数据库和容器提供近乎即时的恢复，复制，保留和重用。它很容易部署为虚拟设备，并且无代理架构易于维护。它通过提高开发，测试和分析的质量和速度来释放数据的价值。通过将数据卸载到本地和基于云的对象存储以及IBM Spectrum Protect(包括对物理和虚拟磁带的支持)，可以实现具有成本效益的数据保留，数据合规性和灾难恢复。

　　不过根据9月14日IBM安全公告显示，该数据保护解决方案爆出高危漏洞，需要尽快升级。以下是漏洞详情：

　　漏洞详情

　　来源：

　　https://www.ibm.com/support/pages/node/6328867

　　1.CVEID：CVE-2020-4703 CVSS评分： 8 高危

　　IBM Spectrum Protect Plus管理控制台可以允许经过身份验证的攻击者上载任意文件，这些文件可以在易受攻击的服务器上执行任意代码。此漏洞是由于先前CVE-2020-4470(IBM Spectrum Protect Plus管理控制台可以允许经过身份验证的攻击者上载任意文件，这些文件可以在易受攻击的服务器上执行任意代码)的修复不完整引起的。

　　2.CVEID：CVE-2020-4711 CVSS评分：6.5 高

　　IBM Spectrum Protect Plus可能允许远程攻击者遍历系统上的目录。攻击者可以发送特制的URL请求，其中包含“点点”序列(/../)，以查看系统上的任意文件。

　　3. 第三方(Linux)条目：187206 CVSS评分：6.2 中

　　Linux内核存在写时复制安全旁路漏洞,Linux内核中的漏洞会影响IBM Spectrum Protect Plus。

　　4.CVEID：CVE-2020-13401 CVSS评分：6 中

　　Docker容易受到间接攻击，这可能会影响IBM Spectrum Protect Plus，该Docker间接攻击漏洞是由于路由器广播验证不正确引起的。通过发送恶意路由器广播，攻击者可以使用间接技术来利用此漏洞，以访问端点之间的通信通道以获得敏感信息或进一步危害系统。

　　受影响产品和版本

　　上述漏洞影响IBM Spectrum Protect Plus 10.1.0 ~ 10.1.6版本

　　解决方案

　　目前IBM官方已发布临时修复补丁，升级IBM Spectrum Protect™Plus版本10.1.6.x的临时修订包即可修复，可参见官方修复链接：

　　https://www.ibm.com/support/pages/node/6254732

　　查看更多漏洞信息 以及升级请访问官网：

　　https://www.ibm.com/blogs/psirt/