2024-0417: IBM WebSphere Application Server: Mehrere Schwachstellen ermöglichen u. a. die Manipulation von Dateien

Historie:

Version 1 (2024-02-15 12:07): Neues Advisory
Version 2 (2024-02-21 11:44): IBM hat den Sicherheitsupdate aktualisiert und den betroffenen Versionsbereich des IBM WebSphere Application Server von '8.5.5.24' auf '8.5.5.25' erweitert.

Betroffene Software

Middleware
Server

Betroffene Plattformen

HP
IBM
Apple
Linux
Microsoft
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren und Informationen auszuspähen. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich.

Der Hersteller IBM informiert darüber, dass diese Schwachstellen WebSphere Application Server in den Versionen 8.5.0.0 bis 8.5.5.24 und 9.0 sowie WebSphere Application Server Liberty Continuous Delivery betreffen. Als Sicherheitsupdate für WebSphere Application Server Liberty Continuous Delivery sowie WebSphere Application Server 9 und 8.5 wird ein Update auf IBM SDK, Java Technology Edition Version 8 Service Refresh 8 FP20 empfohlen. Für WebSphere Application Server 8.5 steht für IBM SDK, Java Technology Edition der Interim Fix PH59378 für IBM Java 8 sowie IBM WebSphere Application Server Fix Pack 26 8.5.5.26 (angekündigt für 3. Quartal 2024) zur Verfügung.

Schwachstellen:

CVE-2023-33850

Schwachstelle in GSKit-Crypto-Bibliothek ermöglicht Ausspähen von Informationen

CVE-2024-20918

Schwachstelle in GraalVM, GraalVM for JDK, Oracle JDK und Oracle Java SE Embedded ermöglicht Manipulation von Dateien

CVE-2024-20921

Schwachstelle in GraalVM, GraalVM for JDK, Oracle JDK und Oracle Java SE Embedded ermöglicht Ausspähen von Informationen

CVE-2024-20945