2020-0246: WebSphere Application Server: Zwei Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2020-02-05 11:43)

Neues Advisory

Betroffene Software

Middleware
Server

Betroffene Plattformen

HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Zwei Schwachstellen in IBM SDK Java Technology Edition betreffen auch WebSphere Application Server und ermöglichen einem lokalen, einfach authentifizierten Angreifer mit erweiterten Privilegien auf Windows-Systemen die Ausführung beliebigen Programmcodes sowie einem entfernten, nicht authentisierten Angreifer die Manipulation von Daten.

Für WebSphere Application Server Liberty und WebSphere Application Server 9 (Traditional) empfiehlt IBM ein Update von IBM Java SDK auf Version 8 SR6 (8.0.6.0). Die Schwachstelle CVE-2019-4732 wird allerdings erst mit Version 8 SR6-FP5 (8.0.6.5) behoben. Ein Update von IBM SDK Java Technology Edition Version 8 auf diese Version oder ein Update von IBM SDK Java Technology Edition Version 7 auf Version 7 Service Refresh 10 Fix Pack 60 (7.0.10.60) bzw. von IBM SDK Java Technology Edition Version 7R1 auf Version 7R1 Service Refresh 4 Fix Pack 60 (7.1.4.60) wird für WebSphere Application Server 8.5.0.0 bis 8.5.5.17 empfohlen. IBM SDK Java Technology Edition Version 7 wird ab WebSphere Application Server 9 nicht mehr unterstützt.

Schwachstellen:

CVE-2019-4732

Schwachstelle in IBM Java SDK ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-2593

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht u. a. Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.