2021-0352: IBM WebSphere Application Server: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe
Historie:
- Version 1 (2021-02-16 13:13)
- Neues Advisory
- Version 2 (2021-03-08 09:01)
- IBM informiert darüber, dass die IBM Java SDK Versionen, die mit IBM WebSphere Application Server Patterns 1.0.0.0 - 1.0.0.7 und 2.2.0.0 - 2.3.3.3 ausgeliefert werden, von den Schwachstelle CVE-2020-2773, CVE-2020-14781, CVE-2020-14803 (hinzugefügt) und CVE-2020-2722 betroffen sind und stellt den Interim Fix 1.0.0.0-WS-WASPATTERNS-JDK-2101 zur Verfügung. Alternativ kann über das IBM Security Bulletin 6415639 geprüft werden, welche Versionen von WebSphere Application Server von den Schwachstellen betroffen sind und welche Versionen von IBM JDK diese beheben.
Betroffene Software
Middleware
Server
Betroffene Plattformen
HP
IBM
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Denial-of-Service (DoS)-Angriffe durchzuführen oder möglicherweise beliebigen Programmcode zur Ausführung zu bringen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.
IBM informiert über die Schwachstellen in WebSphere Application Server Traditional in den Version 8.5.0.0 bis 8.5.5.19 und 9.0.0.0. Zudem sind alle Versionen von WebSphere Application Server Liberty betroffen.
Für WebSphere Application Server Liberty und WebSphere Application Server 9 (Traditional) empfiehlt IBM ein Update von IBM Java SDK auf Version 8 SR6 FP25.
Für WebSphere Application Server 8.5.0.0 bis 8.5.5.19 ist in Abhängigkeit des bereits installierten IBM Java SDK eine der folgenden Anpassungen des IBM Java SDK notwendig: Das IBM SDK, Java Technology Edition, Version 7 kann mit dem Interim Fix PH34273 auf die Version IBM SDK, Java Technology Edition, Version 7 Service Refresh 10 Fix Pack 80 aktualisiert werden. Das IBM SDK, Java Technology Edition, Version 7R1 wird mit dem Interim Fix PH34272 aktualisiert auf IBM SDK, Java Technology Edition, Version 7R1 Service Refresh 4 Fix Pack 80. Für das IBM SDK Java Technology Edition Version 8 SR6 FP25 bestehen mehrere Möglichkeiten: Entweder kann der Interim Fix PH34270 für eine Aktualisierung auf IBM SDK, Java Technology Edition, Version 8 Service Refresh 6 FP25 oder für Umgebungen mit dem neuen IBM SDK Version 8, das mit dem WebSphere Application Server Fix Pack 8.5.5.11 oder später gebündelt ist, kann der Interim Fix PH34271 für eine Aktualisierung auf IBM SDK, Java Technology Edition, Version 8 Service Refresh 6 FP25 benutzt werden oder es besteht die Möglichkeit, das mit dem WebSphere Application Server Fix pack 20 (8.5.5.20) gebündelte IBM Java SDK zu installieren, welches aber erst im dritten Quartal 2021 verfügbar sein soll.
Schwachstellen:
CVE-2020-14781
Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von InformationenCVE-2020-14782
Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Manipulation von DatenCVE-2020-14803
Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von InformationenCVE-2020-27221
Schwachstelle in Eclipse OpenJ9 und IBM Java SDK ermöglicht u. a. Denial-of-Service-AngriffCVE-2020-2773
Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.