2021-1946: IBM WebSphere Application Server Liberty: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe

Historie:

Version 1 (2021-09-16 15:57): Neues Advisory
Version 2 (2022-03-14 11:25): Der Hersteller informiert darüber, dass die Schwachstellen in Apache Commons, für die IBM WebSphere Application Server Liberty verwundbar ist, damit auch IBM Spectrum Protect Backup-Archive Client web user interface, IBM Spectrum Protect for Virtual Environments und IBM Spectrum Protect for Space Management betreffen können. Es sind dies im Einzelnen IBM Spectrum Protect Backup-Archive Client web user interface 8.1.7.0 - 8.1.13.3 (Linux, Windows) und 8.1.9.0 - 8.1.13.3 (AIX), IBM Spectrum Protect for Virtual Environments: Data Protection for VMware 8.1.0.0 - 8.1.13.3, IBM Spectrum Protect for Virtual Environments: Data Protection for Hyper-V 8.1.4.0 - 8.1.13.3 sowie IBM Spectrum Protect for Space Management 8.1.7.0 - 8.1.13.3 (Linux) und 8.1.9.0 - 8.1.13.3 (AIX). Es wird für alle genannten Produkte und Plattformen jeweils Release 8.1.14 als Sicherheitsupdate zur Verfügung gestellt.

Betroffene Software

Datensicherung
Middleware
Netzwerk
Server
Virtualisierung

Betroffene Plattformen

HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer eine weitere Schwachstelle lokal ausnutzen, um ebenfalls einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers.

IBM informiert darüber, dass die Schwachstellen WebSphere Application Server Liberty 17.0.0.3 bis 21.0.0.9 betreffen. Als Sicherheitsupdates werden Interim Fix PH39418 bereitgestellt und Liberty Fix Pack 21.0.0.10 für das 4. Quartial 2021 angekündigt.

Schwachstellen:

CVE-2021-33517

Schwachstelle in Apache Commons Compress ermöglicht Denial-of-Service-Angriff

CVE-2021-36090