Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

IBM Security Identity Manager 6.0
IBM Security Identity Manager <= 6.0.0.3 Betroffene Plattformen: IBM Security Identity Manager Mehrere Schwachstellen im IBM Security Identity Manager ermöglichen einem entfernten, nicht authentifizierten Angreifer Cross-Site-Scripting-Angriffe durchzuführen oder Informationen auszuspähen. Patch: IBM Security Bulletin 1689779 http://www-01.ibm.com/support/docview.wss?uid=swg21689779

CVE-2014-6110: Eine Schwachstelle im IBM Security Identity Manager
ermöglicht das Umgehen von Sicherheitsmaßnahmen

Eine Schwachstelle im IBM SIM führt dazu, dass der Logout eines Benutzers
nicht korrekt durchgeführt wird. Ein lokaler, nicht authentifizierter
Angreifer kann Sicherheitsmaßnahmen umgehen und die SIM-Sitzung des
vorhergehenden Benutzers übernehmen.

CVE-2014-6107: Eine Schwachstelle im IBM Security Identity Manager
ermöglicht Man-in-the-Middle-Angriff

Eine Schwachstelle im IBM SIM führt dazu, dass durch unverschlüsselte
HTTP-Sitzungen Informationen aus nicht verschlüsselten Cookies ausgelesen
werden können. Ein entfernter, nicht authentifizierter Angreifer kann über
einen Man-in-the-Middle-Angriff Informationen ausspähen.

CVE-2014-6105: Eine Schwachstelle im IBM Security Identity Manager
ermöglicht das Ausführen von beliebigem Programmcode

Eine Schwachstelle im IBM SIM führt dazu, dass durch das Versenden einer
präparierten HTTP-Anfrage ein Mausklick entführt wird. Der ausgeführte
Programmcode wird nicht auf dem betroffenen System ausgeführt. Ein
entfernter, nicht authentifiziert Angreifer kann beliebigen Programmcode
ausführen.

CVE-2014-6098: Eine Schwachstelle im IBM Security Identity Manager
ermöglicht das Ausspähen von Informationen

Eine Schwachstelle im IBM SIM führt dazu, dass bei einer speziell
präparierten Webanfrage Klartextpassworte preisgegeben werden. Ein
entfernter, nicht authentifizierter Angreifer kann sensible Informationen
ausspähen.

CVE-2014-6096: Eine Schwachstelle im IBM Security Identity Manager
ermöglicht Cross-Site-Scripting-Angriffe

Eine Schwachstelle im IBM SIM durch unzureichende Überprüfung von
Benutzereingaben führt dazu, dass beliebiger Webcode ausgeführt werden kann.
Ein entfernter, nicht authentifizierter Angreifer kann einen
Cross-Site-Scripting-Angriff durchführen.

CVE-2014-6095: Eine Verzeichnis-Traversal-Schwachstelle im IBM Security
Identity Manager ermöglicht das Ausspähen von Informationen

Eine Verzeichnis-Traversal-Schwachstelle im IBM SIM führt dazu, dass durch
das Versenden eine präparierten URL beliebige Dateien gelesen werden können.
Ein entfernter, nicht authentifizierter Angreifer kann Informationen
ausspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1513/

Schwachstelle CVE-2014-6095 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6095

Schwachstelle CVE-2014-6096 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6096

Schwachstelle CVE-2014-6098 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6098

Schwachstelle CVE-2014-6105 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6105

Schwachstelle CVE-2014-6107 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6107

Schwachstelle CVE-2014-6110 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6110

IBM Security Bulletin 1689779:
http://www-01.ibm.com/support/docview.wss?uid=swg21689779

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.