2019-0083: IBM Security Identity Manager: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2019-01-14 14:06)
- Neues Advisory
- Version 2 (2019-01-21 17:18)
- IBM aktualisiert den referenzierten Sicherheitshinweis, der nun auch die Schwachstelle CVE-2018-2019 umfasst, die mit dem verfügbaren Sicherheitsupdate behoben wird. Die Schwachstelle kann ein entfernter, einfach authentisierter Angreifer ausnutzen, um einen XML External Entity Injection (XXE)-Angriff durchzuführen, um in der Folge Informationen auszuspähen oder exzessiv Speicher zu konsumieren.
Betroffene Software
Sicherheit
Betroffene Plattformen
IBM
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Eine Schwachstelle ermöglicht einem entfernten, einfach authentisierten Angreifer beliebigen Programmcode mit den Rechten des Dienstes zur Ausführung zu bringen. Zwei weitere Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer unter Umständen Passwörter von Benutzern zu erraten oder durch Brute-Force-Angriffe zu ermitteln, also sensitive Informationen auszuspähen, oder einen Cross-Site-Scripting (XSS)-Angriff gegen Benutzer durchzuführen, der ebenfalls dem Abgreifen von Passwörtern dienen kann.
IBM veröffentlicht die Informationen zu den Schwachstellen und stellt für IBM Security Identity Manager 6.0.0 - 6.0.0.20 die Version 6.0.0-ISS-SIM-FP0021 zur Behebung derselben bereit (siehe IBM Security Bulletin).
Schwachstellen:
CVE-2018-1956
Schwachstelle in IBM Security Identity Manager ermöglicht Ausspähen von InformationenCVE-2018-1967
Schwachstelle in IBM Security Identity Manager ermöglicht Cross-Site-Scripting-AngriffCVE-2018-1969
Schwachstelle in IBM Security Identity Manager ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-2019
Schwachstelle in IBM Security Identity Manager ermöglicht XML External Entity Injection-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.