2018-2379: IBM Java SDK: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen und die Manipulation von Daten

Historie:

Version 1 (2018-11-20 16:56)

Neues Advisory

Version 2 (2018-12-10 15:06)

IBM informiert darüber, dass auch die IBM Java SDK Versionen, die mit IBM WebSphere Application Server Patterns 1.0.0.0 - 1.0.0.7 und 2.2.0.0 - 2.2.6.0 ausgeliefert werden, von diesen Schwachstellen betroffen sind und stellt den Interim Fix 1.0.0.0-WS-WASPATTERNS-JDK-1810 zur Verfügung.

Version 3 (2019-01-31 16:46)

IBM informiert darüber, dass auch Tivoli Storage Manager FastBack 6.1.0.0 bis inklusive 6.1.12.6 von den Schwachstellen betroffen ist. Als Sicherheitsupdate steht Version 6.1.12.7 für Windows und Linux zur Verfügung.

Version 4 (2019-02-26 17:43)

Die zwei Schwachstellen in IBM Java Runtime betreffen auch IBM Spectrum Protect Operations Center und Client Management Service jeweils in den Versionen 7.1.0.000 bis 7.1.9.100 und 8.1.0.000 bis 8.1.6.100. IBM stellt jeweils die Versionen 7.1.9.200 und 8.1.7 von IBM Spectrum Protect Operations Center und Client Management Service als Sicherheitsupdates bereit.

Version 5 (2019-04-02 19:15)

Die beiden Schwachstellen in Java betreffen auch IBM Spectrum Protect Snapshot (früher Tivoli Storage FlashCopy Manager) for VMware in den Versionen 4.1.0.0 bis einschließlich 4.1.6.6. Für das Betriebssystem Linux steht die Version 4.1.6.7 als erstes fehlerbereinigtes Release zur Verfügung.

Version 6 (2019-04-04 16:34)

Die beiden Schwachstellen in Java betreffen auch IBM Spectrum Protect Backup-Archive Client auf Windows und Macintosh in den Versionen 8.1.0.0 bis 8.1.6.1 und 7.1.0.0 bis 7.1.8.4. IBM stellt die Versionen 8.1.7 und 7.1.8.5 für Windows und Macintosh als Sicheheitsupdates zur Verfügung. Ebenfalls betroffen sind IBM Spectrum Protect for Virtual Environments: Data Protection for VMware in den Versionen 7.1.0.0 bis 7.1.8.4 und 8.1.0.0 bis 8.1.6.1 sowie Data Protection for Hyper-V in den Versionen 8.1.4.0 bis 8.1.6.1 auf Linux und Windows-Systemen. IBM stellt die Versionen 7.1.8.5 und 8.1.7 für IBM Spectrum Protect for Virtual Environments: Data Protection for VMware und die Version 8.1.7 für IBM Spectrum Protect for Virtual Environments: Data Protection for Hyper-V zur Verfügung, um die Schwachstellen zu beheben.

Betroffene Software

Datensicherung
Entwicklung
Middleware
Netzwerk
Server
Virtualisierung

Betroffene Plattformen

HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Zwei Schwachstellen in IBM Java SDK betreffen auch alle aktuellen Versionszweige von Websphere Application Server. Die Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen und die Manipulation von Daten.

Für WebSphere Application Server Liberty stehen Interim Fixes bereit, um die dort eingesetzte Version von IBM Java SDK auf Version 6R1 Service Refresh 8 Fix Pack 75 oder Version 7 Service Refresh 10 Fix Pack 35 zu aktualisieren. Für Updates auf die Versionen 7R1 SR4 FP35 oder 8 SR5 FP25 stehen über eine interne Referenz weitere Informationen bereit.

Für WebSphere Application Server Traditional (Version 9) wird ein Update von IBM Java SDK auf Version 8 Service Refresh 5 Fix Pack 25 empfohlen. Auch hier stehen weitere Informationen über interne Referenzen bereit.

Benutzern von WebSphere Application Server 8.5 stehen Interim Fixes zur Verfügung, mit denen die jeweils fehlerbereinigten Fix Packs für die IBM Java SDK Versionszweige 6R1, 7, 7R1 und 8 eingespielt werden können. Für WebSphere Application Server 8.0 steht nach einem Update auf Version 8.0.0.15 ein Interim Fix bereit, um IBM Java SDK auf Version 6R1 Service Refresh 8 Fix Pack 75 zu aktualisieren, für WebSphere Application Server 7.0 steht ein Interim Fix zum Update auf Version 6 Service Refresh 16 Fix Pack 75 bereit. Hierfür muss die Software zunächst auf Version 7.0.0.45 aktualisiert werden.

Schwachstellen:

CVE-2018-3139

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen

CVE-2018-3180

Schwachstelle in Oracle Java SE, Java SE Embedded und JRockit ermöglicht u. a. Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.