DFN-CERT

Advisory-Archiv

2018-0034: IBM WebSphere Application Server, IBM Spectrum Protect Plus, IBM Security Identity Manager: Eine Schwachstelle ermöglicht u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-01-08 13:28)
Neues Advisory
Version 2 (2018-06-06 18:39)
IBM informiert darüber, dass die Schwachstelle in Apache Commons FileUpload auch IBM Spectrum Protect Plus auf Linux in den Versionen 10.1.0. und 10.1.1 betrifft und stellt Patch 1 für letztere als Sicherheitsupdate zur Verfügung.
Version 3 (2018-08-02 18:30)
IBM informiert darüber, dass die Schwachstelle in Apache Commons FileUpload auch in IBM Security Identity Manager Version 6.0 existiert und stellt den Patch '6.0.0-ISS-SIM-FP0020' (Siehe IBM Security Bulletin 10719413) als Sicherheitsupdate zur Verfügung.

Betroffene Software

Datensicherung
Middleware
Server
Sicherheit

Betroffene Plattformen

Hardware
HP
IBM
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Eine Schwachstelle in der Apache Commons FileUpload Bibliothek ermöglicht einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes und das Erzeugen und Überschreiben beliebiger Dateien auf dem betroffenen System.

IBM empfiehlt den Interim Fix PI90804 (siehe Referenzen) für die jeweilige Produktvariante zu installieren, um die Schwachstelle zu beheben. Ferner stellt IBM diverse Fix Packs zur Behebung der Schwachstelle in Aussicht: WebSphere Application Server Liberty Fix Pack Version 18.0.0.1 sowie die WebSphere Application Server Traditional und WebSphere Application Server Hypervisor Edition Fix Packs 9.0.0.7 und 8.5.5.13 werden voraussichtlich im 1. Quartal 2018, Fix Pack 8.0.0.15 voraussichtlich im 2. Quartal 2018 veröffentlicht.

Schwachstellen:

CVE-2016-1000031

Schwachstelle in Apache Commons FileUpload ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.