IBM: Sicherheitsupdates für zahlreiche Produkte verfügbar
Seit Anfang voriger Woche hat IBM eine ganze Reihe von Lücken aus seinem Produktportfolio beseitigt – darunter einige mit hohem bis kritischem Schweregrad.
In einem Product Security Incident Response(PSIRT) Blog veröffentlicht IBM regelmäßig Beiträge, die auf geschlossene Sicherheitslücken und zugehörige Produkt-Updates hinweisen. Seit Anfang vergangener Woche sind 14 Beiträge zu Updates hinzugekommen, deren Relevanz IBM als hoch einstuft. Zwei weiteren neuen Beiträgen hat IBM eine "Critical"-Einstufung zugewiesen; sie betreffen den Cloud Transformation Advisor und den eDiscovery Analyzer.
Die in den beiden Advisories beschriebenen kritischen Lücken CVE-2020-10531, CVE-2020-8174 und CVE-2019-17638 könnten von entfernten Angreifern unter anderem missbraucht werden, um beliebigen Code auszuführen, sensible Daten auszulesen oder Denial-of-Service-Zustände herbeizuführen.
Benutzer sollten einen Blick auf die Lückenbeschreibungen und Versionsangaben in den Bulletins werfen und die verfügbaren Aktualisierungen möglichst zeitnah einspielen. Wer sich einen Gesamtüberblick über alle verfügbaren Sicherheitsupdates – also auch über jene für Lücken mit "Low"- und "Medium"-Einstufung – verschaffen möchte, findet eine nach Monaten filterbare Auflistung der Security Bulletins in IBMS PSIRT-Blog. Hier ist allerdings Vorsicht geboten: Das Datum in der Übersicht gibt jeweils an, wann ein Beitrag modifiziert und nicht, wann er erstellt wurde.
Bulletins mit "High"- und "Critical"-Einstufung im Überblick
Im Folgenden haben wir die Bulletins mit "High"- und "Critical"-Einstufung für Sie aufgelistet. Zu beachten ist, dass die Veröffentlichungen oftmals mehrere Lücken/CVE-Nummern zusammenfassen. Die Gefahreneinstufung orientiert sich offenbar am jeweils höchsten CVSS-Score.
Einstufung "High":
- IBM Cúram Social Program Management (CVE-2019-17566)
- IBM Cloud Transformation Advisor
- IBM Java Runtime / IBM Cloud Transformation Advisor (1 / 2)
- IBM Java SDK / IBM eDiscovery Analyzer
- IBM Spectrum Protect Plus (CVE-2020-4711, CVE-2020-4703)
- IBM Cloud Pak System
- IBM Kenexa LMS On Premise
- IBM DB2 (Spectrum Scale, CVE-2020-4411)
- IBM SDK (Java Technology Edition) / Liberty for Java for IBM Cloud
- IBM i
- IBM WebSphere Application Server Liberty / Novalink (CVE-2019-4720)
- IBM Tivoli Composite Application Manager for Transactions
- IBM Java SDK/JRE / Novalink (CVE-2019-4732)
Einstufung "Critical":
- IBM Cloud Transformation Advisor (u.a. CVE-2020-10531, CVE-2020-8174)
- IBM eDiscovery Analyzer (CVE-2019-17638)
(ovw)