2020-0227: IBM WebSphere Application Server: Zwei Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-02-04 14:17)

Neues Advisory

Betroffene Software

Middleware
Server

Betroffene Plattformen

HP
IBM
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein entfernter, einfach authentisierter Angreifer mit erweiterten Privilegien kann eine Schwachstelle in IBM WebSphere Application Server ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen. Eine weitere Schwachstelle ermöglicht es einem entfernten, nicht authentisierten Angreifer, einen Denial-of-Service (DoS)-Zustand zu erzeugen.

Die Schwachstelle CVE-2020-4163 kann mit dem Interim Fix PH20785 behoben werden. Alternativ können die IBM WebSphere Application Server Fix Packs 8.5.5.17 und 9.0.5.3, welche voraussichtlich im ersten Quartal 2020 (1Q2020) erscheinen, installiert werden. WebSphere Application Server Liberty ist nicht von der Schwachstelle betroffen.

Die Schwachstelle CVE-2019-12406 kann mit dem Interim Fix PH19989 behoben werden. Alternativ können die IBM WebSphere Application Server Fix Packs 9.0.5.3 und 20.0.0.2 (Liberty) installiert werden, welche voraussichtlich im ersten Quartal 2020 (1Q2020) erscheinen. WebSphere Application Server 8.5 und früher ist nicht von der Schwachstelle betroffen.

Schwachstellen:

CVE-2019-12406

Schwachstelle in Apache CXF ermöglicht Denial-of-Service-Angriff

CVE-2020-4163

Schwachstelle in WebSphere Application Server ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.