2019-1783: IBM WebSphere Application Server: Zwei Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2019-08-26 18:52)
- Neues Advisory
- Version 2 (2019-11-25 15:02)
- IBM informiert über die Schwachstellen in IBM Spectrum Protect Snapshot (formerly FlashCopy Manager) in verschiedenen Editionen auf AIX in den Versionen 4.1.0.0 bis 4.1.6.3 und 8.1.0.0 bis 8.1.6.2 und stellt die Versionen 4.1.6.4 und 8.1.9 für AIX als Sicherheitsupdates zur Verfügung.
Betroffene Software
Datensicherung
Middleware
Netzwerk
Server
Betroffene Plattformen
HP
IBM
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Zwei Schwachstellen ermöglichen einem lokalen, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes und die Eskalation seiner Privilegien.
IBM informiert über die Schwachstellen in WebSphere Application Server Traditional in den Version 8.5.0.0 bis 8.5.5.15 und 9.0.0.0 bis 9.0.5.0. Zudem sind alle Versionen von WebSphere Application Server Liberty betroffen.
Die Schwachstellen können im WebSphere Application Server Liberty behoben werden, indem der Interim Fix PH14763 eingespielt wird oder ein Update auf IBM SDK, Java Technology Edition Version 7R1 SR4 FP50 oder IBM SDK, Java Technology Edition Version 8 SR5 FP40 durchgeführt wird. Die Schwachstellen können für den WebSphere Application Server Traditional in Version 9 nur behoben werden durch ein Update auf IBM SDK, Java Technology Edition, Version 8 Service Refresh 5 Fix Pack 40. Im Fall des WebSphere Application Server Traditional in Version 8.5 gibt es mehrere Möglichkeiten in Abhängigkeit der installierten Version des IBM SDKs, wie die Schwachstellen behoben werden können. Für das IBM SDK Java Technology Edition Version 7 steht der Interim Fix PH14763, für IBM SDK Java Technology Edition Version 7R1 der Interim Fix PH14762 und für IBM SDK Java Technology Edition Version 8 der Interim Fix PH14760 oder, falls es sich um das IBM SDK des WebSphere Application Server Fix Pack 8.5.5.11 oder später handelt, der Interim Fix PH14761 bereit. Alternativ kann das IBM Java SDK, das mit WebSphere Application Server Fix Pack 16 (8.5.5.17) voraussichtlich im 1. Quartal 2020 kommen wird, eingespielt werden.
Schwachstellen:
CVE-2019-11771
Schwachstelle in Eclipse OpenJ9 ermöglicht u. a. die Ausführung beliebigen ProgrammcodesCVE-2019-4473
Schwachstelle in IBM SDK ermöglicht u. a. die Ausführung beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.