CVE-2016-2894
https://notcve.org/view.php?id=CVE-2016-2894
IBM Spectrum Protect (formerly Tivoli Storage Manager) 5.5 through 6.3 before 6.3.2.6, 6.4 before 6.4.3.3, and 7.1 before 7.1.6 allows local users to obtain sensitive retrieved data from arbitrary accounts in opportunistic circumstances by leveraging previous use of a symlink during archive and retrieve actions. IBM Spectrum Protect (anteriormente Tivoli Storage Manager) 5.5 hasta la versión 6.3 en versiones anteriores a 6.3.2.6, 6.4 en versiones anteriores a 6.4.3.3 y 7.1 en versiones anteriores a 7.1.6 permite a usuarios locales obtener datos sensibles recuperados de cuentas arbitrarias en circunstancias oportunistas aprovechando un uso anterior de un symlink durante acciones de archivo y recuperación. • http://www-01.ibm.com/support/docview.wss?uid=swg1IT13686 http://www-01.ibm.com/support/docview.wss?uid=swg21985579 http://www.securityfocus.com/bid/91534 http://www.securitytracker.com/id/1036220 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2015-7408
https://notcve.org/view.php?id=CVE-2015-7408
The server in IBM Spectrum Protect (aka Tivoli Storage Manager) 5.5 and 6.x before 6.3.5.1 and 7.x before 7.1.4 does not properly restrict use of the ASNODENAME option, which allows remote attackers to read or write to backup data by leveraging proxy authority. El servidor en IBM Spectrum Protect (también conocido como Tivoli Storage Manager) 5.5 y 6.x en versiones anteriores a 6.3.5.1 y 7.x en versiones anteriores a 7.1.4 no restringe adecuadamente el uso de la opción ASNODENAME, lo que permite a atacantes remotos leer o escribir en datos de copia de seguridad mediante el aprovechamiento de la autoridad proxy. • http://www-01.ibm.com/support/docview.wss?uid=swg1IT13609 http://www-01.ibm.com/support/docview.wss?uid=swg21975957 • CWE-264: Permissions, Privileges, and Access Controls •
CVE-2015-4951
https://notcve.org/view.php?id=CVE-2015-4951
Client Acceptor Daemon (CAD) in the client in IBM Spectrum Protect (formerly Tivoli Storage Manager) 5.5 and 6.x before 6.3.2.5, 6.4 before 6.4.3.1, and 7.1 before 7.1.3 allows remote attackers to cause a denial of service (daemon crash) via a crafted Web client URL. Client Acceptor Daemon (CAD) en el client en IBM Spectrum Protect (anteriormente Tivoli Storage Manager) 5.5 y 6.x en versiones anteriores a 6.3.2.5, 6.4 en versiones anteriores a 6.4.3.1 y 7.1 en versiones anteriores a 7.1.3 permite a atacantes remotos provocar una denegación de servicio (caída del demonio) a través de una URL de cliente Web manipulada. • http://www-01.ibm.com/support/docview.wss?uid=swg21973484 http://www.securitytracker.com/id/1034692 • CWE-20: Improper Input Validation •
CVE-2015-7404
https://notcve.org/view.php?id=CVE-2015-7404
IBM Tivoli Storage Manager for Databases: Data Protection for Microsoft SQL Server (aka Spectrum Protect for Databases) 5.5 before 5.5.6.2, 6.3 before 6.3.1.6, 6.4 before 6.4.1.8, and 7.1 before 7.1.4; Tivoli Storage Manager for Mail: Data Protection for Microsoft Exchange Server (aka Spectrum Protect for Mail) 5.5 before 5.5.1.1, 6.1 and 6.3 before 6.3.1.6, 6.4 before 6.4.1.8, and 7.1 before 7.1.4; and Tivoli Storage FlashCopy Manager for Windows (aka Spectrum Protect Snapshot) 2.x and 3.1 before 3.1.1.6, 3.2 before 3.2.1.8, and 4.1 before 4.1.4, when application tracing is configured, write cleartext passwords during changetsmpassword command execution, which allows local users to obtain sensitive information by reading the application trace output. IBM Tivoli Storage Manager for Databases: Data Protection for Microsoft SQL Server (también conocido como Spectrum Protect for Databases) 5.5 en versiones anteriores a 5.5.6.2, 6.3 en versiones anteriores a 6.3.1.6, 6.4 en versiones anteriores a 6.4.1.8 y 7.1 en versiones anteriores a 7.1.4; Tivoli Storage Manager for Mail: Data Protection for Microsoft Exchange Server (también conocido como Spectrum Protect for Mail) 5.5 en versiones anteriores a 5.5.1.1, 6.1 y 6.3 en versiones anteriores a 6.3.1.6, 6.4 en versiones anteriores a 6.4.1.8 y 7.1 en versiones anteriores a 7.1.4; y Tivoli Storage FlashCopy Manager for Windows (también conocido como Spectrum Protect Snapshot) 2.x y 3.1 en versiones anteriores a 3.1.1.6, 3.2 en versiones anteriores a 3.2.1.8 y 4.1 en versiones anteriores a 4.1.4, cuando se configura el trazado de aplicación, escribir contraseñas en texto plano durante la ejecución del comando changetsmpassword, lo que permite a usuarios locales obtener información sensible mediante la lectura de la traza de salida de la aplicación. • http://www-01.ibm.com/support/docview.wss?uid=swg1IT11349 http://www-01.ibm.com/support/docview.wss?uid=swg21969514 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2015-4950
https://notcve.org/view.php?id=CVE-2015-4950
The mailbox-restore feature in IBM Tivoli Storage Manager for Mail: Data Protection for Microsoft Exchange Server 6.1 before 6.1.3.6, 6.3 before 6.3.1.3, 6.4 before 6.4.1.4, and 7.1 before 7.1.0.2; Tivoli Storage FlashCopy Manager: FlashCopy Manager for Microsoft Exchange Server 2.1, 2.2, 3.1 before 3.1.1.5, 3.2 before 3.2.1.7, and 4.1 before 4.1.1; and Tivoli Storage Manager FastBack for Microsoft Exchange 6.1 before 6.1.5.4 does not ensure that the correct mailbox is selected, which allows remote authenticated users to obtain sensitive information via a duplicate alias name. Vulnerabilidad en la aplicación del restablecimiento del buzón de correo en IBM Tivoli Storage Manager for Mail: protección de datos para Microsoft Exchange Server 6.1 en versiones anteriores a 6.1.3.6, 6.3 en versiones anteriores a 6.3.1.3, 6.4 en versiones anteriores a 6.4.1.4 y 7.1 en versiones anteriores a 7.1.0.2; Tivoli Storage FlashCopy Manager: FlashCopy Manager para Microsoft Exchange Server 2.1, 2.2, 3.1 en versiones anteriores a 3.1.1.5, 3.2 en versiones anteriores a 3.2.1.7 y 4.1 en versiones anteriores a 4.1.1; y Tivoli Storage Manager FastBack para Microsoft Exchange 6.1 en versiones anteriores a 6.1.5.4 no asegura que sea seleccionado el buzón de correo correcto, lo que permite a usuarios remotos autenticados obtener información sensible a través de apodo duplicado. • http://www-01.ibm.com/support/docview.wss?uid=swg1IT04251 http://www-01.ibm.com/support/docview.wss?uid=swg1IT04252 http://www-01.ibm.com/support/docview.wss?uid=swg21963629 http://www.securitytracker.com/id/1033652 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •