2018-0034: IBM WebSphere Application Server, IBM Spectrum Protect Plus, IBM Security Identity Manager: Eine Schwachstelle ermöglicht u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2018-01-08 13:28)
- Neues Advisory
- Version 2 (2018-06-06 18:39)
- IBM informiert darüber, dass die Schwachstelle in Apache Commons FileUpload auch IBM Spectrum Protect Plus auf Linux in den Versionen 10.1.0. und 10.1.1 betrifft und stellt Patch 1 für letztere als Sicherheitsupdate zur Verfügung.
- Version 3 (2018-08-02 18:30)
- IBM informiert darüber, dass die Schwachstelle in Apache Commons FileUpload auch in IBM Security Identity Manager Version 6.0 existiert und stellt den Patch '6.0.0-ISS-SIM-FP0020' (Siehe IBM Security Bulletin 10719413) als Sicherheitsupdate zur Verfügung.
Betroffene Software
Datensicherung
Middleware
Server
Sicherheit
Betroffene Plattformen
Hardware
HP
IBM
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Eine Schwachstelle in der Apache Commons FileUpload Bibliothek ermöglicht einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes und das Erzeugen und Überschreiben beliebiger Dateien auf dem betroffenen System.
IBM empfiehlt den Interim Fix PI90804 (siehe Referenzen) für die jeweilige Produktvariante zu installieren, um die Schwachstelle zu beheben. Ferner stellt IBM diverse Fix Packs zur Behebung der Schwachstelle in Aussicht: WebSphere Application Server Liberty Fix Pack Version 18.0.0.1 sowie die WebSphere Application Server Traditional und WebSphere Application Server Hypervisor Edition Fix Packs 9.0.0.7 und 8.5.5.13 werden voraussichtlich im 1. Quartal 2018, Fix Pack 8.0.0.15 voraussichtlich im 2. Quartal 2018 veröffentlicht.
Schwachstellen:
CVE-2016-1000031
Schwachstelle in Apache Commons FileUpload ermöglicht Ausführung beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.