IBM warnt vor Codeschmuggel in Business Automation Workflow

Durch eine Sicherheitslücke in der Komponente Async könnte IBM Business Automation Workflow aus dem Netz Schadcode untergeschoben werden, warnt IBM. Ursache ist eine sogenannte Prototype Pollution in der Funktion mapValues(). Angreifer könnten potenzielle Opfer dazu bringen, speziell präparierte Dateien zu öffnen, und damit die Schwachstelle zum Ausführen eigenen Codes auf dem System missbrauchen (CVE-2021-43138, CVSS 7.8, Risiko "hoch").

Ein Prototype-Pollution-Angriff missbraucht Besonderheiten der Programmiersprache JavaScript. Er injiziert Eigenschaften etwa in construct-Prototypen, wodurch Werte und Objekteigenschaften unter die Kontrolle von Angreifern geraten. Damit könnten sie die Programmlogik manipulieren, was beispielsweise in einen Denial-of-Service mündet oder gar in Ausführung von eingeschmuggeltem Code.

Laut IBMs Sicherheitsmeldung sind von der Sicherheitslücke IBM Business Automation Workflow Traditional sowie IBM Business Automation Workflow Containers in den Versionen 21.0.2 und 21.0.3 betroffen. In der Meldung verlinken die Autoren auch die verfügbaren Updates, die sowohl als sogenannter Interim Fix (iFix) oder Cumulative Fix (CF) bereitstehen. Alternativ sollen Administratoren auf die nicht verwundbare Version 22.0.1 aktualisieren. Große Eile sieht IBM offenbar nicht geboten, die Empfehlung lautet lediglich, die Aktualisierungen anzuwenden, sobald es praktikabel erscheint.

Als nicht betroffen listet IBM die Versionen der Zweige 18, 19, 20 sowie 21.0.1 und 22.0.1 auf. Bei diesen Fassungen müssen IT-Verantwortliche also nicht aktiv werden. Eine Sicherheitslücke, die IBMs Business Automation Workflow betraf, war zuletzt vor mehr als einem Jahr akut.

(dmk)