UPDATE: DFN-CERT-2019-0467 IBM WebSphere Application Server: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

UPDATE: DFN-CERT-2019-0467 IBM WebSphere Application Server: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (08.03.19):
IBM informiert darüber, dass auch die IBM Java SDK Versionen, die mit IBM
WebSphere Application Server Patterns 1.0.0.0 – 1.0.0.7 und 2.2.0.0 –
2.2.5.3 ausgeliefert werden, von diesen Schwachstellen betroffen sind und
stellt den Interim Fix 1.0.0.0-WS-WASPATTERNS-JDK-1901 zur Verfügung.
Version 1 (07.03.19):
Neues Advisory

Zwei Schwachstellen ermöglichen einem entfernten, authentifizierten
Angreifer das Ausführen beliebigen Programmcodes und das Ausspähen von
Informationen. Eine weitere Schwachstelle ermöglicht einem lokalen, nicht
authentisierten Angreifer, beliebigen Programmcode zur Ausführung zu bringen
und eine Privilegieneskalation durchzuführen.

Der Hersteller bestätigt die Schwachstellen für WebSphere Application Server
Traditional in den Version 9.0.0.0 bis 9.0.0.10 und 8.5.0.0 bis 8.5.5.15.
Zudem sind alle Versionen von WebSphere Application Server Liberty bis
Version 19.0.0.1 betroffen. Die Schwachstellen können im WebSphere
Application Server Liberty behoben werden, indem der Interim Fix PH07629
eingespielt wird oder ein Update auf IBM SDK, Java Technology Edition
Version 7R1 SR4 FP40 oder IBM SDK, Java Technology Edition Version 8 SR5
FP30 durchgeführt wird. Die Schwachstellen können für den WebSphere
Application Server Traditional in Version 9 nur behoben werden durch ein
Update auf IBM SDK, Java Technology Edition, Version 8 Service Refresh 5 Fix
Pack 30. Im Fall des WebSphere Application Server Traditional in Version 8.5
gibt es mehrere Möglichkeiten in Abhängigkeit der installierten Version des
IBM SDKs, wie die Schwachstellen behoben werden können. Für das IBM SDK Java
Technology Edition Version 7 steht der Interim Fix PH07629, für IBM SDK Java
Technology Edition Version 7R1 der Interim Fix PH07628 und für IBM SDK Java
Technology Edition Version 8 der Interim Fix PH07626 oder, falls es sich um
das IBM SDK des WebSphere Application Server Fix Pack 8.5.5.11 handelt, der
Interim Fix PH07627 bereit. Alternativ kann das IBM Java SDK, das mit
WebSphere Application Server Fix Pack 16 (8.5.5.16) voraussichtlich im 3.
Quartal 2019 kommen wird, eingespielt werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0467]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben