DFN-CERT-2017-0609 IBM Mobile Connect, IBM Java Runtime: Mehrere Schwachstellen ermöglichen u.a. die komplette Kompromittierung des Systems [Linux][Unix][AIX][Windows][Netzwerk]

DFN-CERT-2017-0609 IBM Mobile Connect, IBM Java Runtime: Mehrere Schwachstellen ermöglichen u.a. die komplette Kompromittierung des Systems [Linux][Unix][AIX][Windows][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

IBM Mobile Connect 6.1.5
IBM Mobile Connect 6.1.5.1
IBM Mobile Connect 6.1.5.2

Betroffene Plattformen:

GNU/Linux
IBM AIX
Microsoft Windows

Mehrere Schwachstelle in IBM Java Runtime betreffen die
Gatekeeper-Komponente von IBM Mobile Connect 6.1.5, 6.1.5.1 und 6.1.5.2. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstellen
ausnutzen, um das System zu kompromittieren, sensitive Informationen
auszuspähen und Sicherheitsvorkehrungen zu umgehen.

IBM informiert über die Schwachstellen und stellt IBM Mobile Connect 6.1.6
als Sicherheitsupdate für IBM AIX, Linux und Microsoft Windows bereit.

Patch:

IBM Security Bulletin 2000443

https://www-01.ibm.com/support/docview.wss?uid=swg22000443

CVE-2017-3261: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Ausspähen von Informationen

Eine nicht näher spezifizierte, leicht auszunutzende Schwachstelle in Java
SE und Java SE Embedded (Subkomponente Networking) ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle den Zugriff auf einige der von Java SE und Java SE
Embedded erreichbaren Daten.

CVE-2017-3231: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Ausspähen von Informationen

Eine nicht näher spezifizierte, leicht auszunutzende Schwachstelle in Java
SE und Java SE Embedded (Subkomponente Networking) ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle den Zugriff auf einige der von Java SE und Java SE
Embedded erreichbaren Daten.

CVE-2016-5548: Schwachstelle in Java SE und Java SE Embedded ermöglicht
Ausspähen von Informationen

Eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle in Java
SE und Java SE Embedded (Subkomponente Libraries) ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle den unautorisierten Zugriff auf kritische Daten oder den
Zugriff auf alle von Java SE und Java SE Embedded erreichbaren Daten. Zur
Ausnutzung der Schwachstelle ist die Interaktion eines Benutzers notwendig.

CVE-2017-3272: Schwachstelle in Java SE und Java SE Embedded ermöglicht
komplette Kompromittierung des Systems

Eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle in Java
SE und Java SE Embedded (Subkomponente Libraries) ermöglicht einem
entfernten, nicht authentifizierten Angreifer über verschiedene
Netzwerkprotokolle die Übernahme von Java SE sowie Java SE Embedded und in
der Folge die komplette Kompromittierung des Systems. Zur Ausnutzung der
Schwachstelle ist die Interaktion eines Benutzers notwendig.

CVE-2016-2183: Schwachstelle in SSL/TLS ermöglicht Umgehen von
Sicherheitsvorkehrungen

HTTPS und viele andere Dienste, welche die kryptographischen Protokolle SSL
und TLS zum Zweck der Verschlüsselung verwenden, können standardmäßig unter
anderem den ‘Triple-DES’-Kryptoalgorithmus nutzen, der gegen den sogenannten
Geburtstagsangriff (Birthday Attack, SWEET32) verwundbar ist. Die
Schwachstelle ist aufgrund der Art und Weise wie Browser
Authentifizierungs-Cookies (Session Cookies) behandeln ausnutzbar, weil
diese zwischen einem Webdienst und dem Browser wiederholt hin und her
geschickt werden. Verfügt ein Angreifer über die Möglichkeit genügend
Datenverkehr zwischen diesen Endpunkten zu genieren, indem er beispielsweise
ein bösartiges JavaScript-Programm im Browser eines Benutzers ausführt oder
diesen auf eine hierfür präparierte Webseite leitet, und kann darüber hinaus
diesen Datenverkehr mitschneiden, ermöglicht dies bei ausreichender
Datenmenge einen Kollisionsangriff (Collision Attack) durchzuführen und den
Inhalt des Session Cookies zu enthüllen. Ein entfernter, nicht
authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen und
infolgedessen Informationen ausspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0609/

Schwachstelle CVE-2016-2183 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2183

Schwachstelle CVE-2016-5548 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5548

Schwachstelle CVE-2017-3231 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3231

Schwachstelle CVE-2017-3261 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3261

Schwachstelle CVE-2017-3272 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3272

IBM Security Bulletin 2000443:
https://www-01.ibm.com/support/docview.wss?uid=swg22000443

IBM PSIRT Blog: Multiple vulnerabilities in IBM Java Runtime affect IBM Mobile
Connect :
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-multiple-vulnerabilities-in-ibm-java-runtime-affect-ibm-mobile-connect-cve-2017-3272cve-2017-5548cve-2017-3261cve-2017-3231cve-2016-2183/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben