DFN-CERT-2018-0014 IBM Spectrum Protect Client: Mehrere Schwachstellen ermöglichen u.a. komplette Kompromittierung der Software [Apple][Windows]

DFN-CERT-2018-0014 IBM Spectrum Protect Client: Mehrere Schwachstellen ermöglichen u.a. komplette Kompromittierung der Software [Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

IBM Tivoli Storage Manager Client <= 6.4 IBM Tivoli Storage Manager Client >= 7.1.0.0
IBM Tivoli Storage Manager Client <= 7.1.7.x IBM Tivoli Storage Manager Client < 7.1.8 IBM Tivoli Storage Manager Client >= 8.1.0.0
IBM Tivoli Storage Manager Client <= 8.1.2.x IBM Tivoli Storage Manager Client < 8.1.4 Betroffene Plattformen: Apple macOS Microsoft Windows Mehrere Schwachstellen im IBM Runtime Environment Java betreffen auch den IBM Spectrum Protect (früher Tivoli Storage Manager) Windows und Macintosh Client. Ein entfernter, nicht authentisierter Angreifer kann die Schwachstellen für das Ausspähen und Manipulieren von Daten, das Bewirken eines Denial-of-Service-Zustandes und die komplette Kompromittierung eines betroffenen Systems ausnutzen. IBM bestätigt die Schwachstellen für IBM Spectrum Protect Client in den Versionen 8.1.0.0 bis 8.1.2.x, 7.1.0.0 bis 7.1.7.x sowie 6.4 und früher auf Windows und Macintosh-Systemen und stellt die Versionen 8.1.4 und 7.1.8 als Sicherheitsupdates zur Verfügung. Für Nutzer, welche die Version 6.4 oder älter verwenden empfiehlt IBM ein Upgrade auf einer der zuvor angegebenen Versionen. Der Hersteller bewertet die Kritikalität des Sicherheitsupdates mit 'high'. Patch: IBM Security Bulletin 22011594 https://www-01.ibm.com/support/docview.wss?uid=swg22011594

CVE-2017-10115: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht Ausspähen von Informationen

Eine leicht auszunutzende Schwachstelle in der Subkomponente JCE von Java
SE, Java SE Embedded und JRockit ermöglicht einem entfernten, nicht
authentisierten Angreifer über verschiedene Netzwerkprotokolle das Ausspähen
sämtlicher von der betroffenen Software erreichbaren Daten oder weiterer
kritischer Daten. Die Schwachstelle betrifft Java-Installationen, die zur
Ausführung der Programme auf die Sandbox zurückgreifen sowie solche, die
über die Programmschnittstelle der Subkomponente angesprochen werden können.

CVE-2017-10243: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht u.a. Denial-of-Service-Angriff

Eine leicht auszunutzende Schwachstelle in der Subkomponente ‘JAX-WS’ von
Java SE, Java SE Embedded und JRockit ermöglicht einem entfernten, nicht
authentisierten Angreifer den Lesezugriff auf einige der Software
zugänglichen Daten und die Erzeugung eines partiellen
Denial-of-Service-Zustands. Die Schwachstelle betrifft Java-Anwendungen, die
in der Sandbox ausgeführt werden und solche, die über die
Programmschnittstelle der betroffenen Subkomponente Security angesprochen
werden können.

CVE-2017-10116: Schwachstelle in Java SE, Java SE Embedded und JRockit
ermöglicht komplette Kompromittierung der Software

Es existiert eine schwer auszunutzende Schwachstelle in der Subkomponente
Security von Java SE, Java SE Embedded und JRockit, die einem entfernten,
nicht authentisierten Angreifer über verschiedene Netzwerkprotokolle die
komplette Kompromittierung der betroffenen Software und darüber hinaus
Einfluss auf weitere Produkte ermöglicht. Die Schwachstelle betrifft
Java-Installationen, die zur Ausführung der Programme auf die Sandbox
zurückgreifen und solche, die über die Programmschnittstelle der
Subkomponente angesprochen werden können. Zur erfolgreichen Ausnutzung der
Schwachstelle ist die Interaktion eines Benutzers erforderlich.

CVE-2017-10105: Schwachstelle in Java SE ermöglicht Manipulation von Daten

Durch eine leicht auszunutzende Schwachstelle in der Subkomponente
Deployment von Java SE kann ein entfernter, nicht authentisierter Angreifer
einige der Java SE zugänglichen Daten manipulieren. Die Schwachstelle
betrifft Java-Installationen, die auf die Java Sandbox zurückgreifen, um
nicht vertrauenswürdigen Programmcode auszuführen. Eine erfolgreiche
Ausnutzung der Schwachstelle erfordert die Interaktion eines vom Angreifer
verschiedenen Benutzers.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0014/

Schwachstelle CVE-2017-10105 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10105

Schwachstelle CVE-2017-10115 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10115

Schwachstelle CVE-2017-10116 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10116

Schwachstelle CVE-2017-10243 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10243

IBM Security Bulletin 22011594:
https://www-01.ibm.com/support/docview.wss?uid=swg22011594

IBM Security Bulletin: Multiple vulnerabilites in IBM Java Runtime affect IBM
Spectrum Protect (Tivoli Storage Manager) Windows and Macintosh Client:
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-multiple-vulnerabilites-in-ibm-java-runtime-affect-ibm-spectrum-protect-tivoli-storage-manager-windows-and-macintosh-client/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben