2018-0952: IBM WebSphere Application Server, IBM HTTP-Server: Mehrere Schwachstellen ermöglichen u. a. das Ausspähen von Informationen
Historie:
- Version 1 (2018-05-18 12:08)
- Neues Advisory
- Version 2 (2018-10-04 12:15)
- IBM informiert darüber, dass der Edge Caching Proxy des WebSphere Application Server in den Version 8.0 bis 8.0.0.1 5, 8.5 bis 8.5.5.14 und 9.0 bis 9.0.0.8 ebenfalls von den Schwachstellen betroffen ist. Es werden die Interim Fixes 8.0.0-WS-EDGECP-FP000000151.zip, 8.5.5-WS-EDGECP-FP000000141.zip und 9.0.8-WS-EDGECP-FP00000081.zip als Sicherheitsupdates angeboten. Alternativ können die Versionen 9.0.0.9 bzw. 8.5.5.15 eingespielt werden. Der Fix Pack 15 (8.5.5.15) wird voraussichtlich im 1. Quartal 2019 erhältlich sein.
Betroffene Software
Middleware
Server
Betroffene Plattformen
HP
IBM
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Mehrere Schwachstellen im auf dem Apache HTTP-Server basierenden IBM HTTP-Server ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung eines Denial-of-Service (DoS)-Angriffs, das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen sowie das unsichere Erzeugen von temporären Dateien. Zwei weitere Schwachstellen ermöglichen einem lokalen, nicht authentisierten Angreifer einen Denial-of-Service (DoS)-Angriff sowie das ausspähen von Informationen.
IBM informiert über die Schwachstellen in IBM HTTP Server und weist darauf hin, dass diese Schwachstellen alle Editionen von IBM WebSphere Application Server und damit verbundene Produkte betreffen. Hierfür werden die Interim Fixes PI94222 und PI91913 zur Verfügung gestellt, die nach Upgrade auf das minimal für diese benötigte Patch-Level eingespielt werden können. Als Sicherheitsupdates werden die Fix Packs 9.0.0.8 für den 22. Juni 2018 sowie 8.5.5.14 für den 20. August 2018 angekündigt. IBM WebSphere Application Server 7.0.0.45 steht bereits als Sicherheitsupdate zur Verfügung.
Der Hersteller empfiehlt aufgrund von CVE-2018-1447 das 'Re-Stashing' von betroffenen Passworten und stellt dazu ein Informationsdokument zur Verfügung (Referenz anbei).
Schwachstellen:
CVE-2016-0702
Schwachstelle in OpenSSL ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2016-0705
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2017-3732
Schwachstelle in OpenSSL ermöglicht Ausspähen von InformationenCVE-2017-3736
Schwachstelle in OpenSSL ermöglicht Ausspähen von InformationenCVE-2018-1426
Schwachstelle in IBM GSKit ermöglicht unsicheres Erzeugen von temporären DateienCVE-2018-1427
Schwachstelle in IBM GSKit ermöglicht Denial-of-Service-AngriffCVE-2018-1447
Schwachstelle in IBM GSKit ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.