DFN-CERT

Advisory-Archiv

2017-0729: IBM WebSphere Application Server: Eine Schwachstelle ermöglicht einen Cross-Site-Request-Forgery-Angriff

Historie:

Version 1 (2017-04-28 11:54)
Neues Advisory
Version 2 (2017-11-06 18:04)
IBM informiert darüber, dass die Cross-Site-Request-Forgery (CSRF)-Schwachstelle, die in IBM WebSphere Application Server festgestellt wurde, für IBM Security Access Manager Appliances adressiert wurde. Für IBM Security Access Manager 9.0 - 9.0.2.1 wird ein Upgrade auf Version 9.0.3.0: IBM Security Access Manager V9.0.3 Multiplatform, Multilingual (CRW4EML) empfohlen (APAR IJ00670). Zugleich wird für IBM Security Access Manager 9.0.3.0 ein Upgrade auf Version 9.0.3.1: 9.0.3-ISS-ISAM-FP0001 (APAR IJ00161, APAR IJ00211) empfohlen, um die Schwachstelle zu beheben.

Betroffene Software

Middleware
Server
Sicherheit

Betroffene Plattformen

Hardware
Netzwerk
HP
IBM
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann eine nicht näher beschriebene Schwachstelle im IBM WebSphere Application Server dazu ausnutzen, um in einem Cross-Site-Request-Forgery (CSRF)-Angriff beliebige schädliche und unautorisierte Aktionen durch einen Benutzer zu übermitteln, dem die Website vertraut.

Für die betroffenen Versionszweige des WebSphere Application Server Liberty sowie von IBM WebSphere Application Server Traditional und IBM WebSphere Application Server Hypervisor Edition stehen Interim Fixes mit der Bezeichnung PI77770 zur Verfügung. Als Sicherheitsupdates sind die Programmversionen 7.0.0.45 für das zweite Quartal 2018, 8.0.0.14 für den 16.10.2017, 8.5.5.12 für den 04.08.2017 und 9.0.0.4 sowie WebSphere Application Server Liberty 17.0.0.2 für den 23.06.2017 angekündigt.

Schwachstellen:

CVE-2017-1194

Schwachstelle in IBM WebSphere Application Server ermöglicht Cross-Site-Request-Forgery

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.