Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

IBM Connections >= 5.5
IBM Connections < 5.5 CR3 Betroffene Plattformen: GNU/Linux IBM AIX Microsoft Windows Ein entfernter, einfach authentifizierter Angreifer kann eine Schwachstelle in IBM Connections ausnutzen, um einen Cross-Site-Scripting (XSS)-Angriff durchzuführen und damit sensible Benutzerinformationen (Anmeldedaten / Credentials) auszuspähen. Für die erfolgreiche Ausnutzung der Schwachstelle ist eine Benutzerinteraktion erforderlich. IBM bestätigt die Schwachstelle für IBM Connections 5.5 und stellt ein Upgrade auf IBM Connections 5.5 CR3 (Cumulative Refresh 3) zur Behebung der Schwachstelle bereit. Patch: IBM Security Bulletin 2006286 http://www-01.ibm.com/support/docview.wss?uid=swg22006286

CVE-2017-1498: Schwachstelle in IBM Connections ermöglicht
Cross-Site-Scripting-Angriff

In IBM Connections existiert eine nicht näher beschriebene Schwachstelle,
die ausgenutzt werden kann, um beliebigen JavaScript-Code in die
Weboberfläche eines Benutzers einzuschleusen, um deren intendierte
Funktionalität zu verändern.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2202/

IBM Security Bulletin 2006286:
http://www-01.ibm.com/support/docview.wss?uid=swg22006286

IBM PSIRT Blog: IBM Connections Security Refresh (CVE-2017-1498):
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-ibm-connections-security-refresh-cve-2017-1498/

Schwachstelle CVE-2017-1498 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1498

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.