2019-0467: IBM WebSphere Application Server: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2019-03-07 18:18)
- Neues Advisory
- Version 2 (2019-03-08 17:36)
- IBM informiert darüber, dass auch die IBM Java SDK Versionen, die mit IBM WebSphere Application Server Patterns 1.0.0.0 - 1.0.0.7 und 2.2.0.0 - 2.2.5.3 ausgeliefert werden, von diesen Schwachstellen betroffen sind und stellt den Interim Fix 1.0.0.0-WS-WASPATTERNS-JDK-1901 zur Verfügung.
Betroffene Software
Middleware
Server
Betroffene Plattformen
HP
IBM
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Zwei Schwachstellen ermöglichen einem entfernten, authentifizierten Angreifer das Ausführen beliebigen Programmcodes und das Ausspähen von Informationen. Eine weitere Schwachstelle ermöglicht einem lokalen, nicht authentisierten Angreifer, beliebigen Programmcode zur Ausführung zu bringen und eine Privilegieneskalation durchzuführen.
Der Hersteller bestätigt die Schwachstellen für WebSphere Application Server Traditional in den Version 9.0.0.0 bis 9.0.0.10 und 8.5.0.0 bis 8.5.5.15. Zudem sind alle Versionen von WebSphere Application Server Liberty bis Version 19.0.0.1 betroffen. Die Schwachstellen können im WebSphere Application Server Liberty behoben werden, indem der Interim Fix PH07629 eingespielt wird oder ein Update auf IBM SDK, Java Technology Edition Version 7R1 SR4 FP40 oder IBM SDK, Java Technology Edition Version 8 SR5 FP30 durchgeführt wird. Die Schwachstellen können für den WebSphere Application Server Traditional in Version 9 nur behoben werden durch ein Update auf IBM SDK, Java Technology Edition, Version 8 Service Refresh 5 Fix Pack 30. Im Fall des WebSphere Application Server Traditional in Version 8.5 gibt es mehrere Möglichkeiten in Abhängigkeit der installierten Version des IBM SDKs, wie die Schwachstellen behoben werden können. Für das IBM SDK Java Technology Edition Version 7 steht der Interim Fix PH07629, für IBM SDK Java Technology Edition Version 7R1 der Interim Fix PH07628 und für IBM SDK Java Technology Edition Version 8 der Interim Fix PH07626 oder, falls es sich um das IBM SDK des WebSphere Application Server Fix Pack 8.5.5.11 handelt, der Interim Fix PH07627 bereit. Alternativ kann das IBM Java SDK, das mit WebSphere Application Server Fix Pack 16 (8.5.5.16) voraussichtlich im 3. Quartal 2019 kommen wird, eingespielt werden.
Schwachstellen:
CVE-2018-12547
Schwachstelle in IBM SDK ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-1890
Schwachstelle in IBM SDK ermöglicht PrivilegieneskalationCVE-2019-2426
Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.