IBM Security Verify Access ve IBM Verify Identity Access kimlik ve erişim yönetimi (IAM) güvenlik yazılımı, saldırılara karşı savunmasızdır. IBM şu anda biri kritik risk olarak değerlendirilen üç güvenlik açığı konusunda uyarıda bulunuyor.
IBM, güvenlik danışma belgesinde, yazılım gerekenden daha yüksek haklarla çalıştığı için oturum açmış yerel kullanıcıların “kök” haklarını artırabileceğini açıklıyor (CVE-2025-36356 / EUVD-2025-32573, CVSS) 9.3“Risk”eleştirmen“). Ayrıca, oturum açmış kullanıcılar kontrolleri dışında kötü amaçlı komut dosyaları çalıştırabilir (CVE-2025-36355 / EUVD-2025-32575, CVSS) 8.5“Risk”yüksek“). Üçüncü güvenlik açığı, yazılım kullanıcı tarafından gönderilen verileri düzgün şekilde kontrol etmediğinden, kayıtlı olmayan kullanıcıların daha düşük kullanıcı ayrıcalıklarıyla rastgele komutlar yürütmesine olanak tanır (CVE-2025-36354 / EUVD-2025-32574, CVSS) 7.3“Risk”yüksek“).
Güvenlik açıklarını kapatan güncellemeler
IBM, IBM Security Verify Access 10.0.9.0-IF3 ve IBM Verify Identity Access 11.0.1.0-IF1 sürümleriyle güvenlik açıklarını gideriyor. Güvenlik çözümü cihazları ve Docker kapsayıcıları etkilenir. BT yöneticileri güncellemeleri bu sürümlere derhal uygulamalıdır. IBM, bunun mümkün olduğu kadar çabuk yapılmasını önerir.
Komutun çağrılması docker pull icr.io/isva/verify-access:[tag] IBM Security Verify Access'i güncelleyin; IBM Verify Identity Access için bu, çağrılarak yapılır. docker pull icr.io/ivia/verify-access:[tag]. IBM, bunun için doğru etiketleri web sitesinde listeliyor.
Geçen yılın sonlarında IBM, Güvenlik Doğrulama Erişimindeki dört güvenlik açığını kapatmak zorunda kaldı. Bunlardan üçü kritik risk olarak değerlendirildi. İki boşluk, yetkisiz erişim için arka kapı olarak kötüye kullanılabilecek şifrelenmiş oturum açma verilerini içeriyordu.
(Bilmiyorum)
Bir yanıt yazın