heise PlusAbo
Anzeige
Alert!

IBM stopft Sicherheitslecks in Cognos Controller

IBM hat Updates für Cognos Controller sowie Controller veröffentlicht. Sie schließen unter anderem Schwachstellen mit hohem Risiko.

vorlesen Druckansicht
IT-Verwalter sitzt vorm Server und überwacht die Performance

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

In der Business-Software IBM Cognos Controller und IBM Controller klaffen Sicherheitslücken. Die stopft der Hersteller nun mit aktualisierten Paketen. IT-Verantwortliche sollten sie zeitnah installieren.

In der zugehörigen Sicherheitsmitteilung erklärt IBM, dass insbesondere mitgelieferte Software von Drittherstellern, darunter Open-Source-Komponten, Sicherheitslücken enthalten. Insgesamt schließt das Update zehn Sicherheitslecks. Um die Schwachstellen abzumildern, gibt es laut IBM keine temporären Gegenmaßnahmen – Aktualisieren ist daher mandatorisch.

Sicherheitslücken mit hohem Risiko

Während acht der Schwachstellen einen mittleren Bedrohungsgrad darstellen, stuft IBM zwei davon als hohes Risiko ein. Aufgrund einer unzureichenden Zertifikatsprüfung können unbefugte Nutzerinnen und Nutzer Zugriff auf geschützte Ressourcen erlangen (CVE-2024-40702, CVSS 8.2, Risiko "hoch"). Wie bösartige Akteure diese Schwachstelle missbrauchen können und wie das erkennbar wäre, erörtert IBM nicht.

Videos by heise

Der mitgelieferte Axios-Client ist anfällig für eine Server-Side Request Forgery (SSRF) aufgrund eines Fehlers, bei dem Anfragen für "Path relative" URLs als "Protocol relative URLs" verarbeitet werden (CVE-2024-39338, CVSS 7.5, hoch).

Die Versionen, die die Sicherheitslücken stopfen, lauten IBM Controller 11.1.0.1 (Download in der IBM "Fix Central") sowie IBM Cognos Controller 11.0.1 FP3 (Download in IBMs "Fix Central"). Die sind zudem auch für das Cloud-Deployment verfügbar – hierfür sollen Betroffene zur Aktualisierung einen Support-Fall im IBM-Support öffnen.

Lesen Sie auch

Zuletzt fielen Sicherheitslücken in IBM Cognos Analytics im Jahr 2022 auf. Angreifer konnten damals Schadcode durch die Schwachstellen einschleusen und ausführen. Auch damals war für einen Großteil der Lücken Software von Drittherstellern verantwortlich.

(dmk)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten