2017-1498: IBM Security Access Manager, IBM Tivoli Access Manager for e-business: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2017-08-25 14:18)

Neues Advisory

Betroffene Software

Datensicherung
Entwicklung
Netzwerk
Sicherheit

Betroffene Plattformen

Hardware
Netzwerk
IBM

Beschreibung:

In IBM SDK Java Technology Edition Version 6 und IBM Runtime Environment Java (JRE) Version 6, wie verwendet in IBM Tivoli Access Manager for e-business und IBM Security Access Manager for Web Version 7 (Software), existieren zahlreiche Schwachstellen, die als Teil des IBM Java SDK Updates im April 2017 veröffentlicht wurden. IBM nennt in der referenzierten Meldung nur die Schwachstelle CVE-2017-1289, welche einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen und einen Denial-of-Service (DoS)-Angriff ermöglicht. Ein lokaler, nicht authentisierter Angreifer kann eine weitere Schwachstelle in IBM Security Access Manager e-community Konfigurationen (CVE-2017-1489) aller Versionen ausnutzen, um die Sicherheitsvorkehrung der e-community Domänen zu umgehen, wodurch weitere Angriffe möglich werden.

IBM informiert über die Schwachstellen und stellt Sicherheitsupdates in Form von Interim Fixes für den IBM Security Access Manager zur Verfügung. Für IBM Tivoli Access Manager for e-business 6.1 steht der Interim Fix 32 (6.1.0-ISS-TAM-IF0032), für 6.1.1 der Interim Fix 31 (6.1.1-ISS-TAM-IF0031) und für IBM Security Access Manager for Web 7.0 (Software) der Interim Fix 31 (7.0.0-ISS-SAM-IF0031) bereit, um beide hier beschriebenen Schwachstellen zu beheben.

Zur Behebung der Schwachstelle CVE-2017-1489 steht für IBM Security Access Manager for Web 7.0 (Appliance) der Interim Fix 31 (7.0.0-ISS-WGA-IF0031) bereit. Für IBM Security Access Manager for Web 8.0.0.0 - 8.0.1.6 soll zunächst auf 8.0.1.6 (8.0.1-ISS-WGA-FP0006) und im zweiten Schritt auf 8.0.1.6 Interim Fix 1 (8.0.1.6-ISS-WGA-IF0001), für IBM Security Access Manager for Mobile 8.0.0.0 - 8.0.1.6 zunächst auf 8.0.1.6 (8.0.1-ISS-ISAM-FP0006) und im zweiten Schritt auf 8.0.1.6 Interim Fix 1 (8.0.1.6-ISS-ISAM-IF0001) sowie für IBM Security Access Manager 9.0 - 9.0.3.0 zunächst auf 9.0.3.0 (IBM Security Access Manager V9.0.3 Multiplatform, Multilingual (CRW4EML)) und im zweiten Schritt auf 9.0.3.0 Interim Fix 2 (9.0.3.0-ISS-ISAM-IF0002) aktualisiert werden, um diese Schwachstelle zu beheben.

Schwachstellen:

CVE-2017-1289

Schwachstelle in IBM SDK Java Technology Edition ermöglicht Ausspähen von Informationen und Denial-of-Service-Angriff

CVE-2017-1489

Schwachstelle in IBM Security Access Manager e-community Konfigurationen ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.