2017-1775: IBM Spectrum Protect, IBM Security Access Manager: Mehrere Schwachstellen ermöglichen u.a. die komplette Kompromittierung

Historie:

Version 1 (2017-10-10 20:19)

Neues Advisory

Version 2 (2017-12-01 17:15)

Der IBM Security Access Manager ist von mehreren Schwachstellen in Java betroffen, von denen die beiden hier referenzierten, explizit in der Sicherheitsmeldung benannt werden. Für den IBM Tivoli Access Manager for e-business steht für die Versionen 6.1 - 6.1.0.32 der Interim Fix 33 zur Behebung der Schwachstellen bereit. Für die IBM Tivoli Access Manager for e-business Versionen 6.1.1 - 6.1.1.31 ist der Interim Fix 32 verfügbar, ebenso für IBM Security Access Manager for Web (Software) 7.0 - 7.0.0.31. Für IBM Security Access Manager for Web (Appliance) und for Mobile (Appliance) ist ein Upgrade auf die Version 8.0.1.7 zur Behebung der Schwachstellen erforderlich und für IBM Security Access Manager (Appliance) behebt ein Upgrade auf die Version 9.0.3.1 die Schwachstellen.

Betroffene Software

Datensicherung
Netzwerk
Sicherheit

Betroffene Plattformen

IBM
Linux
Microsoft
UNIX

Beschreibung:

Mehrere Schwachstellen in IBM Java, von denen zwei explizit referenziert werden, betreffen auch IBM Spectrum Protect (früher: Tivoli Storage Manager) Operations Center und Client Management Services. Ein entfernter, nicht authentisierter Angreifer kann die Schwachstellen ausnutzen, um Informationen auszuspähen oder Privilegien zu eskalieren, wodurch er ein betroffenes System komplett unter seine Kontrolle bringen kann.

Für IBM Spectrum Protect Operations Center stehen die Versionen 8.1.3 und 7.1.8 auf AIX, Linux und Windows als erste fehlerbereinigte Versionen zur Verfügung. Die Operations Center Version 6.4 wird nicht mehr unterstützt, es wird ein Upgrade auf die Versionszweige 7 oder 8 empfohlen. Für die Client Management Services (CMS) stehen ebenfalls die Versionen 8.1.3 und 7.1.8 als erste Version bereit, in der die Schwachstellen behoben wurden, allerdings nur auf Linux und Windows.

Schwachstellen:

CVE-2017-10115

Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Ausspähen von Informationen

CVE-2017-10116

Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht komplette Kompromittierung der Software

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.