2020-2259: IBM Security Access Manager, IBM Security Verify Access: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-10-16 13:50)

Neues Advisory

Betroffene Software

Sicherheit

Betroffene Plattformen

Hardware
Netzwerk
IBM

Beschreibung:

Ein entfernter Angreifer kann mehrere Schwachstellen ausnutzen, um beliebigen Programmcode auszuführen, verschiedene Denial-of-Service (DoS)-, Cross-Site-Scripting (XSS)- und Man-in-the-Middle (MITM)-Angriffe durchzuführen, Informationen auszuspähen, Dateien zu manipulieren und Sicherheitsvorkehrungen zu umgehen. Einiger der Angriffe erfordern die Interaktion eines Benutzers oder können Einfluss auf andere Komponenten betroffener Systeme haben.

IBM informiert über die Schwachstellen in IBM Security Access Manager Appliance Version 9.0.7 und IBM Security Verify Access Version 10.0.0 und stellt die IBM Security Access Manager Appliance Version 9.0.7.2 (Fix Pack 9.0.7-ISS-ISAM-FP0002) sowie die IBM Security Verify Access Version 10.0.0.1 (Fix Pack 10.0.0-ISS-ISVA-FP0001) zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2012-5783

Schwachstelle in HTTPClient erlaubt Umgehen von Sicherheitsvorkehrungen

CVE-2012-6153

Schwachstelle in Apache Commons HTTPClient ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-1311

Schwachstelle in Xerces-C ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-14404

Schwachstelle in LibXML2 ermöglicht Denial-of-Service-Angriff

CVE-2018-20852

Schwachstelle in Python ermöglicht Ausspähen von Informationen

CVE-2019-13734

Schwachstelle in SQLite ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-4552

Schwachstelle in IBM Security Access Manager, Security Verify Access ermöglicht HTTP-Response-Splitting-Angriff

CVE-2020-11868

Schwachstelle in NTP ermöglicht Denial-of-Service-Angriff

CVE-2020-13692

Schwachstelle in PostgreSQL JDBC Driver ermöglicht XML-External-Entity-Angriff

CVE-2020-13817

Schwachstelle in NTP ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-24616

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-4499

Schwachstelle in IBM Security Access Manager, Security Verify Access ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-7656

Schwachstelle in jQuery ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-9546

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-9547

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-9548

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.