IBM Engineering Test Management: Dateien im System über Lücke löschbar
Es gibt wichtige Sicherheitsupdates für Software vom IBM. Angreifer könnten unter anderem Schadcode ausführen.
(Bild: Artur Szczybylo/Shutterstock.com)
IBM App Connect Enterprise, Integration Bus, Engineering Test Management und Tivoli Network Manager sind verwundbar. Admins sollten die gegen mögliche Attacken gerüsteten Versionen zeitnah installieren.
Fehlerursache XStream
IBM Engineering Test Management ist eine Managementlösung, beispielsweise zur Softwarebereitstellung. Angreifer könnten an drei Sicherheitslücken (CVE-2022-26258 "hoch", CVE-2022-26259 "hoch", CVE-2022-29505 "hoch") ansetzen. Sind Attacken auf eine Schwachstelle in der Java-Bibliothek XStream erfolgreich, könnten entfernte Angreifer aufgrund einer unzureichenden Prüfung von Nutzereingaben eigene Befehle ausführen.
Außerdem sind Dateien im System löschbar. Dagegen sind die folgenden Ausgaben abgesichert:
- IBM Engineering Test Management 7.0.2 iFix008
- IBM Engineering Test Management 7.0.1 iFix012
- IBM Engineering Test Management 7.0 iFix013
- Rational Quality Manager 6.0.6.1 iFix020
- Rational Quality Manager 6.0.6 iFix024
DoS-Zustände
Mit IBM Tivoli Network Manager visualisiert man unter anderem die Topologie von Netzwerken. Die Anwendung ist über vier Sicherheitslücken attackierbar. Davon sind zwei mit dem Bedrohungsgrad "hoch" eingestuft (CVE-2022-35516, CVE-2022-36090). Schieben Angreifer Opfern ein präpariertes TAR-Archiv unter, kann es bei der Verarbeitung durch die Komprimierungsbibliothek Apache Commons Compress zu Fehlern kommen, was Abstürze (DoS) auslöst.
Die Entwickler geben an, die Probleme in ITNM4.2 Fix Pack 15 (i.e. 4.2.0.15) gelöst zu haben. Folgende Builds sind repariert:
- 4.2.0-TIV-ITNMIP-Linux-FP0015
- 4.2.0-TIV-ITNMIP-zLinux-FP0015
- 4.2.0-TIV-ITNMIP-AIX-FP0015
Schadcode-Attacken
Mit IBM App Connect Enterprise überträgt man Geschäftsinformationen auf mehrere Hardware- und Softwareplattformen. IBM Integration Bus verbindet Anwendungen unabhängig von ihren Nachrichtenformaten oder Protokollen. Durch das Versenden einer präparierten Anfrage (CVE-2022-44906 "mittel") könnten Angreifer Schadcode auf Systeme schieben und ausführen.
IBM App Connect Enterprise Version v11 – Fix Pack 11.0.0.18 und IBM App Connect Enterprise Version v12 – Fix Pack 12.0.4.0 sind gegen solche Attacken geschützt. Nutzer von IBM Integration Bus müssen zum Schutz von Systemen einen Workaround aus einer Warnmeldung befolgen.
Weiterführende Informationen zu den Lücken und Patches:
- IBM Engineering Test Management is vulnerable to arbitrary data access due to XStream
- IBM Engineering Test Management is vulnerable to execute arbitrary commands on system due to XStream
- IBM App Connect Enterprise and IBM Integration Bus are vulnerable to arbitrary code execution due to node.js minimist module
- Apache Commons as used by IBM Tivoli Network Manager is vulnerable to denial of service
(des)
