2017-2203: IBM WebSphere Application Server: Zwei Schwachstellen ermöglichen u.a. die komplette Kompromittierung

Historie:

Version 1 (2017-12-05 19:35)

Neues Advisory

Betroffene Software

Middleware
Server

Betroffene Plattformen

HP
IBM
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Zwei Schwachstellen in der IBM SDK Java Technology Edition, die mit dem IBM WebSphere Application Server verteilt wird, ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausspähen von sensiblen Informationen sowie eine komplette Kompromittierung des betroffenen Systems. Die Schwachstellen wurden im Kontext des Oracle Java Updates im Oktober 2017 veröffentlicht und können Konfigurationen des IBM WebSphere Application Servers Traditional, IBM WebSphere Application Servers Liberty und der IBM WebSphere Application Server Hypervisor Edition beeinträchtigen.

Für den WebSphere Application Server Liberty stehen folgende Korrekturmöglichkeiten bereit: Nach einem Upgrade auf den WebSphere Application Server Liberty Fix Pack 8.5.5.1 oder später ist der Interim Fix PI89663 zu installieren, damit eine Aktualisierung auf das IBM SDK der Version 6R1 Service Refresh 8 Fix Pack 55 erfolgt. Wird auf der gleichen WebSphere Application Server Version statt dessen der Interim Fix PI89661 installiert, wird auf die IBM SDK Version 7 Service Refresh 10 FP15 aktualisiert. Für die IBM SDK Versionen 7R1 und 8 wird auf die Seite 'IBM Java SDKs for WebSphere Liberty' verwiesen, siehe Referenz anbei. Alternativ kann zur Behebung der Schwachstellen auch das IBM Java SDK, das mit der WebSphere Application Server Liberty Version 17.0.0.4 verteilt wird, genutzt werden (angestrebte Verfügbarkeit 4Q2017).

Für die Version 9 des WebSphere Application Servers Traditional wird zur Installation eines IBM SDK Updates auf die Beschreibung im IBM Knowledge Center 'Installing and updating IBM SDK, Java Technology Edition on distributed environments' verwiesen, die zu befolgen ist. Dann soll mit dem IBM Installation Manager auf die Online Produkt Repositories für die SDK Installation zugegriffen werden oder der IBM Installation Manager soll genutzt werden, um auf die Pakete über 'Fixcentral' zuzugreifen.

Für die Versionen 8.5.0.0 bis 8.5.5.12 des WebSphere Application Servers Traditional und der WebSphere Application Server Hypervisor Edition stehen die folgenden Update-Optionen zur Verfügung:

Nach einem Upgrade auf den WebSphere Application Server Traditional Fix Pack 8.5.5.1 oder später steht der Interim Fix PI89662 bereit, über den eine Aktualisierung auf die IBM SDK Version 6R1 Service Refresh 8 Fix Pack 55 erfolgt. Auf der gleichen WebSphere Application Server Version kann mittels des Interim Fixes PI89661 auf die IBM SDK Version 7 Service Refresh 10 FP15 aktualisiert werden. Mittels eines Upgrades auf den WebSphere Application Server Traditional Fix Pack 8.5.5.2 oder später und anschließender Installation des Interim Fixes PI89659 wird ein Update auf die IBM SDK Version 7R1 Service Refresh 4 FP15 durchgeführt. Ein Upgrade auf den WebSphere Application Server Traditional Fix Pack 8.5.5.9 oder später und Einspielung des Interim Fixes PI89657 aktualisiert auf die IBM SDK Version 8 Service Refresh 5 FP5. Für Umgebungen, in denen die neue Default-Version IBM SDK Version 8 eingesetzt wird, die mit dem WebSphere Application Server Fix Pack 8.5.5.11 oder später gebündelt verteilt wird, ist der Interim Fix PI89658 erforderlich, der zu einer Aktualisierung auf die IBM SDK Version 8 Service Refresh 4 FP10 führt. Alternativ kann das IBM Java SDK, das mit dem WebSphere Application Server Fix Pack 13 (8.5.5.13) oder später verteilt wird, als Sicherheitsupdate genutzt werden. Die Verfügbarkeit dieser Version ist allerdings erst für das 1Q 2018 geplant.

Für die Versionen 8.0.0.0 bis 8.0.0.13 des WebSphere Application Servers und der WebSphere Application Server Hypervisor Edition ist ein Upgrade auf die Version WebSphere Application Server Fix Pack 8.0.0.7 oder später erforderlich. Anschließend kann über den Interim Fix PI89664 auf die IBM SDK Version 6R1 Service Refresh 8 Fix Pack 55 aktualisiert werden. Alternativ kann die IBM Java SDK Version als Sicherheitsupdate verwendet werden, die mit dem für 2Q 2018 geplanten WebSphere Application Server Fix Pack 15, Version 8.0.0.15, verteilt wird. IBM spricht hier von Fix Pack 14, dabei handelt es sich wahrscheinlich um einen Tippfehler.

Für die Versionen 7.0.0.0 bis 7.0.0.43 des WebSphere Application Servers und der WebSphere Application Server Hypervisor Edition ist ein Upgrade auf die Version WebSphere Application Server Fix Pack 7.0.0.31 oder später erforderlich. Über den Interim Fix PI89665 wird anschließend auf die IBM SDK Version 6 Service Refresh 16 Fix Pack 55 aktualisiert. Als Alternative kann das IBM Java SDK, das mit dem für das zweite Quartal 2018 angekündigten WebSphere Application Server Fix Pack 45, Version 7.0.0.45, verteilt wird, als Sicherheitsupdate genutzt werden.

Die hier aufgeführten Details zu den verschiedenen Interim Fixes und verfügbaren IBM SDK Versionen entstammen dem referenzierten IBM Security Bulletin 2010560.

Schwachstellen:

CVE-2017-10356

Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit ermöglicht Manipulation von Daten

CVE-2017-10388

Schwachstelle in Java SE und Java SE Embedded ermöglicht Kompromittierung der Software

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.