Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

IBM Security Access Manager for Mobile 8.0.0.0
IBM Security Access Manager for Mobile 8.0.0.1
IBM Security Access Manager for Mobile 8.0.0.3

Betroffene Plattformen:

IBM Security Access Manager for Mobile 8.0

Durch Ausnutzen dieser Schwachstelle kann ein entfernter, nicht
authentisierter Angreifer beliebige Webskripte oder HTML einschleusen, d.h.
entsprechenden Programmcode zur Ausführung bringen.

Patch:

IBM Security Bulletin # 1680440

http://www-01.ibm.com/support/docview.wss?uid=swg21680440

CVE-2014-4751: Schwachstelle in IBM Security Access Manager 8.0 Firmware

Eine Cross-site scripting (XSS)-Schwachstelle wurde in IBM Security Access
Manager for Mobile 8.0, Firmware Versionen 8.0.0.0, 8.0.0.1 und 8.0.0.3
festgestellt. Firmware Version 8.0.0.2 ist nicht davon betroffen. Die
Schwachstelle, die auf einer unzureichenden Validierung von Benutzereingaben
beruht, kann von einem entfernten, nicht authentisierten Angreifer, mittels
einer präparierten URL, ausgenutzt werden, um darüber beliebige Webskripte
oder HTML zu injizieren und somit zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1046/

IBM Security Bulletin # 1680440 :
http://www-01.ibm.com/support/docview.wss?uid=swg21680440

Schwachstelle CVE-2014-4751 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4751

XFORCE Meldung 94353:
http://xforce.iss.net/xforce/xfdb/94353

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.