2018-2530: IBM WebSphere Application Server: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-12-12 17:05)

Neues Advisory

Betroffene Software

Middleware
Server

Betroffene Plattformen

HP
IBM
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Zwei Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung eines Cross-Site-Request-Forgery (XSRF/CSRF)-Angriffs und das Ausführen beliebigen Java-Programmcodes. Eine weitere Schwachstelle ermöglicht einem entfernten, einfach authentisierten Angreifer die Eskalation von Privilegien.

Der Hersteller bestätigt die Schwachstellen für WebSphere Application Server in den Versionszweigen 7.0, 8.0, 8.5, 9.0 sowie Liberty und stellt die Interim Fixes PH04234, PH04060 und PH02811 zur Behebung der Schwachstellen bereit. Ferner werden die WebSphere Application Server Fix Pack Versionen 9.0.0.10 für das vierte Quartal diesen Jahres (4Q2018) und 8.5.5.15 für erste Quartal nächsten Jahres (1Q2019) angekündigt. Für Version 8.0 wird ein Upgrade auf 8.0.0.15 und für 7.0 ein Upgrade auf 7.0.0.45 nötig, um den Interim Fix PH04060 anzuwenden. Darüber hinaus informiert der Hersteller, dass WebSphere Application Server 7 und 8 nicht mehr vollständig unterstützt werden, weshalb IBM ein Upgrade auf eine fehlerbehobene, unterstützte Version empfiehlt.

Schwachstellen:

CVE-2018-1901

Schwachstelle in WebSphere Application Server ermöglicht Privilegieneskalation

CVE-2018-1904

Schwachstelle in WebSphere Application Server ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-1926

Schwachstelle in WebSphere Application Server ermöglicht Cross-Site-Request-Forgery-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.