Pufferüberlauf und andere Sicherheitslücken in IBM Business Automation Workflow
Angreifer können Code einschleusen, Komponenten zum Stillstand bringen und geheime Informationen abgreifen. IBM informiert Kunden über Gegenmaßnahmen.
Das Computer-Urgestein IBM hat im ersten Quartal deutliche Geschäftseinbußen hinnehmen müssen und angesichts der Corona-Krise seine Jahresprognose gestrichen.
(Bild: dpa, Mary Altaffer/AP/dpa)
Das Managementsystem für Geschäftsabläufe IBM Business Workflow leidet unter Sicherheitslücken in mehreren seiner Komponenten, die teils kritische Auswirkungen haben. Nicht immer hilft ein Update – IBM hat jedoch für jede Lücke ein Gegenmittel parat.
Die gefährlichste Lücke ist die einzige in der langen Liste des Sicherheits-Bulletins, der die IBM-SIcherheitsmanager keine CVE-ID spendiert haben, obgleich sie seit acht Jahren bekannt ist. Der Pufferüberlauf mit dem CVSS-Punktwert von 9,8 (Gefahrenstufe kritisch) betrifft Apache POI und ist aus der Ferne ausnutzbar. Warum IBM das seit 2016 bekannte Sicherheitsproblem erst jetzt in Business Automation Workflow bearbeitet, ist unklar.
Generell wirkt die Liste, als habe IBM einen Winter-Hausputz in der Business-Softwaresammlung betrieben. Es tummeln sich CVE-IDs von 2012 bis 2022 in der Liste: Unter den gut abgehangenen Lücken im CVSS-Punktbereich von 5 bis 7,5 (Gefahrenstufe mittel bis hoch) tummeln sich verschiedene Denial-of-Service-Probleme, Informationslecks und eine Code-Ausführungslücke (CVE-2018-1000632, CVSS 7,3/10), die alle aufgrund fehlerhafter Eingabeprüfung und Verarbeitung von XML-Dokumenten auftraten. Auch manipulierte Office-Dateien können den in Business Automation Workflow integrierten Apache-POI-Server aus dem Tritt bringen, sodass er seinen Dienst verweigert.
Augen auf beim Versionsvergleich
Die Matrix der betroffenen Versionen treibt dem geneigten Administrator die Tränen in die Augen: Da ist die Rede von Business Automation Workflow containers, traditional , Enterprise Service Bus und jeweils zwei bis acht betroffenen Versionen – wohl dem, der die Verwaltung seiner IBM-Plattformen durch einen Dienstleister oder Big Blue selber erledigen lässt.
Zudem gibt es nicht für jede Version Updates, sondern in manchen Fällen Hotfixes oder gar den Hinweis durch IBM, auf eine Version mit aktiver Langzeitunterstützung zu wechseln.
Codeschmuggel und andere Sicherheitslücken in Business Automation Workflow sind offenbar kein Einzelfall: Bereits im vorvergangenen Jahr warnte IBM mehrfach vor Security-Bugs in dem Produkt.
(cku)
