IBM behebt drei Jahre alte Sicherheitslücke in Business Automation Workflow
Die mitgelieferte Version von Dojo war offenbar drei Jahre alt und enthielt eine kritische Sicherheitslücke. Die hat IBM nun geschlossen und räumt weiter auf.
(Bild: Mats Wiklund/Shutterstock.com)
In verschiedenen Versionen des "IBM Business Automation Workflow" klaffte offenbar jahrelang aufgrund einer veralteten Javascript-Bibliothek eine Sicherheitslücke. Die hat IBM nun behoben und rät Nutzern zu Updates.
Das Dojo-Toolkit hatte bereits im Jahr 2021 eine kritische Sicherheitslücke, die das Einschleusen beliebigen Codes ermöglichte (CVE-2021-23450, CVSS 9,8/10). Bereits seinerzeit hatte IBM vor der Lücke gewarnt und auch Business Automation Workflow in der Liste der betroffenen Produkte aufgeführt. Erst jetzt gibt es jedoch Hinweise zur Behebung.
Versions-Wildwuchs vereinfacht
Da eine Vielzahl verschiedener Versionen und zwei Paketierungen der Software (ein "traditionelles" und ein Containerformat) existieren, ist die Liste der betroffenen Ausgaben unübersichtlich. IBM nutzt jedoch die Gelegenheit, um den Versions-Dschungel zu roden:
- Anwendern der containerisierten Versionen 20.0.0.x, 21.0.x, 22.0.x oder 23.0.x rät IBM, entweder auf die reparierte Version 21.0.3-IF037 oder gleich auf den neuesten Versionsbaum 24.0.0-IF003 zu wechseln,
- wer die traditionelle Version 21.0.3.1 nutzt, soll den Hotfix DT394647 einspielen und
- Nutzer traditioneller Versionen 18 bis 23 sollten sich um Ersatz der kompletten Umgebung bemühen.
Im detaillierten IBM-Sicherheitshinweis finden sich alle Versionsnummern und die passenden Reparaturmaßnahmen.
(cku)
