DFN-CERT-2017-2048 IBM WebSphere Application Server Liberty: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Unix][AIX][Solaris][Windows][Netzwerk]

DFN-CERT-2017-2048 IBM WebSphere Application Server Liberty: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Unix][AIX][Solaris][Windows][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

IBM WebSphere Application Server 17.0.0.3 Liberty
IBM WebSphere Application Server < 17.0.0.4 Liberty Betroffene Plattformen: GNU/Linux HP-UX IBM AIX Microsoft Windows Oracle Solaris Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in OpenSAML ausnutzen, um Dateien des Benutzers, unter dem der Application-Server läuft, zu lesen und möglicherweise weiterführende XML eXternal Entitiy (XXE)-Angriffe durchzuführen. IBM informiert über die Schwachstelle in WebSphere Application Server Liberty mit Unterstützung für das 'samlWeb-2.0'- oder das 'wsSecuritySaml-1.1'-Feature. Der Hersteller stellt mit dem Interim Fix PI89102 einen Patch zur Behebung der Schwachstelle bereit und kündigt die Version 17.0.0.4 als Sicherheitsupdate für den 21. Dezember 2017 an. Patch: IBM Security Bulletin 2010415: Information disclosure in WebSphere Application Server Liberty (CVE-2013-6440) http://www-01.ibm.com/support/docview.wss?uid=swg22010415

CVE-2013-6440: Schwachstelle in XMLTooling-J/OpenSAML Java erlaubt XML
eXternal Entity (XXE)-Angriffe

Eine Schwachstelle im XMLTooling-J besteht darin, dass die ParserPool- und
Decrypter-Klassen in der OpenSAML Java-Implementierung auch den Zugriff von
extern gestatten und infolgedessen XML eXternal Entitiy (XXE)-Angriffe
erlauben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2048/

Schwachstelle CVE-2013-6440 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6440

IBM Security Bulletin 2010415: Information disclosure in WebSphere Application
Server Liberty (CVE-2013-6440):
http://www-01.ibm.com/support/docview.wss?uid=swg22010415

IBM PSIRT Blog: Information disclosure in WebSphere Application Server Liberty
(CVE-2013-6440):
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-information-disclosure-in-websphere-application-server-liberty-cve-2013-6440/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben