Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Commons Collection
IBM Connections

Betroffene Plattformen:

IBM Connections <= 3.0.1.1 IBM Connections 4.0 IBM Connections 4.5 IBM Connections 5.0 GNU/Linux IBM AIX Microsoft Windows Durch Ausnutzen einer Schwachstelle in Apache Commons Collections kann ein entfernter, nicht authentisierter Angreifer beliebigen Java Programmcode auf dem IBM Connections System ausführen. IBM stellt für die betroffenen IBM Connections Versionen 5.0, 4.5, 4.0 und 3.0.1.1 Sicherheitsupdates in Form von Interim Fixes bereit. Benutzern von Version 3.0.1 und früheren wird ein Update auf die Version 5.0 oder 3.0.1.1 und anschließende Sicherheitsupdate-Installation empfohlen. Patch: IBM Security Bulletin swg21972279 http://www-01.ibm.com/support/docview.wss?uid=swg21972279

CVE-2015-7450: Schwachstelle in Apache Commons Collections erlaubt Ausführen
beliebigen Programmcodes

In Apache Commons Collections, wie verwendet in IBM Connections, existiert
eine Schwachstelle bei der Deserialisierung von Daten mittels der Java
InvokerTransformer Klasse. Ein entfernter, nicht authentisierter Angreifer
kann die Schwachstelle ausnutzen, indem er speziell präparierte Daten
sendet, um beliebigen Java Programmcode auf dem System zur Ausführung zu
bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1909/

IBM Security Bulletin swg21972279:
http://www-01.ibm.com/support/docview.wss?uid=swg21972279

Schwachstelle CVE-2015-7450 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7450

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.