2018-1755: IBM WebSphere Application Server, Spectrum Protect for Virtual Environments, Tivoli Storage Manager FastBack, Java: Zwei Schwachstellen ermöglichen u. a. die Übernahme des Systems

Historie:

Version 1 (2018-08-29 19:08)

Neues Advisory

Version 2 (2018-09-12 18:10)

IBM informiert darüber, dass auch die IBM Java SDK Versionen, die mit IBM WebSphere Application Server Patterns 1.0.0.0 - 1.0.0.7 und 2.2.0.0 - 2.2.5.0 ausgeliefert werden, von diesen Schwachstellen betroffen sind und stellt den Interim Fix 1.0.0.0-WS-WASPATTERNS-JDK-1807 zur Verfügung.

Version 3 (2018-11-09 17:59)

Cisco informiert darüber, dass IBM Spectrum Protect (früher: Tivoli Storage Manager) for Virtual Environments: Data Protection for VMware and Data Protection for Hyper-V von den Schwachstellen in IBM Runtime Environment Java betroffen sind und stellt für die Spectrum Protect for Virtual Environments: Data Protection for VMware Releases 7.1 und 8.1 die Versionen 7.1.8.4 und 8.1.6.1 als Sicherheitsupdates für Linux und Windows bereit. Für IBM Spectrum Protect for Virtual Environments: Data Protection for Hyper-V Release 8.1 steht ebenfalls die Version 8.1.6.1 für Windows zur Behebung der Schwachstellen bereit.

Version 4 (2018-11-19 12:08)

IBM informiert darüber, dass auch Tivoli Storage Manager FastBack in den Versionen 6.1.0.0 bis 6.1.12.5 von den Schwachstellen in IBM Runtime Environment Java betroffen ist und stellt die Version 6.1.12.6 als Sicherheitsupdate für Linux und Windows bereit. Bei den letzten beiden Updates wurde fälschlich Cisco als Urheber der Meldungen genannt. Es handelt sich hierbei korrekt um den Hersteller IBM.

Version 5 (2018-12-06 17:44)

IBM informiert darüber, dass auch IBM Spectrum Protect (früher: Tivoli Storage Manager) Server in den Versionen 7.1.0.0 bis 7.1.9.0 und 8.1.0.0 bis 8.1.6.0 von den Schwachstellen in IBM Runtime Environment Java betroffen ist und stellt die Version 7.1.9.100 als Sicherheitsupdate für AIX, HP-UX, Linux, Solaris und Windows und die Version 8.1.6.100 für AIX, Linux und Windows bereit.

Betroffene Software

Datensicherung
Middleware
Netzwerk
Server
Virtualisierung

Betroffene Plattformen

HP
IBM
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Eine Schwachstelle ermöglicht einem lokalen, nicht authentisierten Angreifer die Übernahme des Systems. Eine weitere Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen.

IBM informiert über die Schwachstellen im WebSphere Application Server und gibt bekannt, dass auch die Editionen Liberty, Traditional und Hypervisor betroffen sind. Je nachdem, welches IBM Java SDK Release und welches WebSphere Application Server Release verwendet wird, stehen unterschiedliche Fix Packs und Interim Fixes bereit, welche die Schwachstellen beheben (siehe IBM Security Bulletin 10729349). Alternativ können auch die Versionen WebSphere Application Server 9.0.0.9 bzw. 8.5.5.15 (angekündigt für das erste Quartal 2019) zur Behebung der Schwachstellen installiert werden. Die jeweils verwendete IBM Java SDK Version in diesen Releases findet sich im 'Knowledge Center' (siehe IBM Security Bulletin 10729349 Referenzen). Darüber hinaus wird die WebSphere Application Server Liberty Fix Pack Version 18.0.0.3 für das dritte Quartal 2018 als Sicherheitsupdate angekündigt. Die Sicherheitsupdates für HP-UX werden mit einer Verspätung angekündigt.

Schwachstellen:

CVE-2018-12539

Schwachstelle in Eclipse ermöglicht Kompromittierung der Software

CVE-2018-1656

Schwachstelle in IBM Java Runtime Environment's Diagnostic Tooling Framework for Java (DTFJ) ermöglicht Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.