2018-2554: IBM Security Access Manager Appliance: Mehrere Schwachstellen ermöglichen u. a. die Eskalation von Privilegien

Historie:

Version 1 (2018-12-14 18:13)

Neues Advisory

Betroffene Software

Sicherheit

Betroffene Plattformen

Hardware
Netzwerk
IBM

Beschreibung:

Mehrere Schwachstellen in den Versionen 9.0.1.0 bis inklusive 9.0.5.0 der IBM Security Access Manager Appliance ermöglichen einem entfernten, nicht authentisierten Angreifer die Eskalation von Privilegien, das Ausspähen von Informationen und einen Cross-Site-Scripting (XSS)-Angriff. Mehrere weitere Schwachstellen können von einem entfernten, einfach authentifizierten Angreifer ausgenutzt werden, um weitere Informationen auszuspähen, zusätzliche Cross-Site-Scripting-Angriffe durchzuführen und Sicherheitsvorkehrungen zu umgehen. Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle ausnutzen, um im Klartext gespeicherte Zugangsdaten oder Schlüsselmaterial in Erfahrung zu bringen und dadurch seine Privilegien eskalieren.

Darüber hinaus ist IBM Security Access Manager Appliance in den genannten Versionen von mehreren weiteren Schwachstellen in OpenSSH, Linux-Kernel, glibc, Oracle JDBC, Apache Tomcat und Intel Prozessoren betroffen, die einem zumeist entfernten, nicht authentisierten Angreifer weitere Angriffe ermöglichen. Dazu gehören Denial-of-Service (DoS)-Angriffe, die Eskalation von Privilegien bis hin zur Kompromittierung des gesamten Systems, die Ausführung beliebigen Programmcodes und die Darstellung falscher Informationen.

Der Hersteller stellt IBM Security Access Manager 9.0.6.0 zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2014-9402

Schwachstelle in GNU Lib C ermöglicht Denial-of-Service-Angriff

CVE-2015-5180

Schwachstelle in GNU Lib C ermöglicht Denial-of-Service-Angriff

CVE-2016-3092

Schwachstelle in Apache Tomcat ermöglicht Denial-of-Service-Angriff

CVE-2016-3506

Schwachstelle in Oracle JDBC-Komponente ermöglicht Übernahme des Systems

CVE-2017-1000252

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2017-1000407

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2017-12132

Schwachstelle in GNU Lib C ermöglicht Darstellen falscher Informationen

CVE-2017-12154

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2017-15670

Schwachstelle in GNU Lib C ermöglicht Privilegieneskalation und Ausführen beliebigen Programmcodes

CVE-2017-15906

Schwachstelle in OpenSSH ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-16939

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2017-18017

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-1653 CVE-2018-1740

Schwachstellen in IBM Security Access Manager Appliance ermöglichen Cross-Site-Scripting-Angriffe

CVE-2018-1803

Schwachstelle in IBM Security Access Manager Appliance ermöglicht Privilegieneskalation

CVE-2018-1804

Schwachstelle in IBM Security Access Manager Appliance ermöglicht Ausspähen von Informationen

CVE-2018-1805

Schwachstelle in IBM Security Access Manager Appliance ermöglicht Ausspähen von Informationen

CVE-2018-1813

Schwachstelle in IBM Security Access Manager Appliance ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-1814

Schwachstelle in IBM Security Access Manager Appliance ermöglicht Ausspähen von Informationen

CVE-2018-1815

Schwachstelle in IBM Security Access Manager Appliance ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-1886

Schwachstelle in IBM Security Access Manager Appliance ermöglicht Ausspähen von Informationen

CVE-2018-1887

Schwachstelle in IBM Security Access Manager Appliance ermöglicht Privilegieneskalation

CVE-2018-3620

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

CVE-2018-3639

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

CVE-2018-3646

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.