Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

IBM Security Access Manager for Web 7.0
IBM Security Access Manager for Web 8.0

Betroffene Plattformen:

IBM Security Access Manager for Web

Eine Schwachstelle in IBM Security Access Manager for Web ermöglicht einem
entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen
und das Manipulieren von Dateien. Betroffen von der Schwachstelle sind die
IBM Security Access Manager for Web 7.0 Software/Appliance vor Version
7.0.0.16 und der IBM Security Access Manager for Web 8.0 vor Version
8.0.1.3.

IBM stellt Sicherheitsupdates in Form eines Interim Fixes für die
verwundbaren Produkte zur Verfügung.

Patch:

IBM Security Bulletin swg21964828

http://www-01.ibm.com/support/docview.wss?uid=swg21964828

CVE-2015-4963: Schwachstelle in IBM Security Access Manager ermöglicht
Ausspähen von Informationen und Manipulation von Dateien

IBM Security Access Manager for Web 7.x vor Version 7.0.0.16 und 8.x vor
Version 8.0.1.3 behandlet WebSEAL HTTPTransformation Anfragen nicht korrekt,
wodurch das Lesen und Schreiben beliebiger Dateien über unbekannte Vektoren
möglich ist.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1728/

IBM Security Bulletin swg21964828:
http://www-01.ibm.com/support/docview.wss?uid=swg21964828

Schwachstelle CVE-2015-4963 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4963

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.