Sicherheitsupdates: Java- und Kernel-Lücken in IBM AIX bedrohen Server
Angreifer könnten Server mit IBM AIX attackieren und im schlimmsten Fall die volle Kontrolle über Systeme erlangen.
Admins sollen ihre Server mit dem Unix-Betriebssystem IBM AIX auf den aktuellen Stand bringen. Mehrere Java- und Kernel-Lücken machen Systeme verwundbar. Keine der Sicherheitslücken ist als kritisch eingestuft.
In einer Warnmeldung geben die IBM-Entwickler an [1], insgesamt neun Schwachstellen in Java SDK geschlossen zu haben, die AIX betreffen. Der Großteil ist mit dem Bedrohungsgrad "mittel" eingestuft. Als am gefährlichsten gelten eine Lücke in Eclipse Openj9 (CVE-2021-41035 "hoch") und Java SE (CVE-2021-35560 "hoch").
Jetzt patchen
Bringen Angreifer Opfer im ersten Fall dazu, ein präpariertes Programm zu öffnen, könnten sie sich höhere Rechte verschaffen und eigenen Code ausführen. Die Java-SE-Lücke kann als Schlupfloch zur System-Übernahme dienen. Um Server abzusichern, sollten Admins eine der abgesicherten Java-SDK-Versionen installieren:
- IBM SDK, Java Technology Edition, Version 7 Service Refresh 11
- IBM SDK, Java Technology Edition, Version 7R1 Service Refresh 5
- IBM SDK, Java Technology Edition, Version 8 Service Refresh 7
Die beiden Kernel-Lücken (CVE-2021-38995, CVE-2021-38994) sind mit "mittel" eingestuft. Für erfolgreiche Attacken brauchen Angreifer lokalen Zugriff. Sind Attacken erfolgreich, resultiert das in DoS-Zuständen. Das führt in der Regel dazu, dass Systeme abstürzen. Hinweise zu reparierten AIX-Versionen findet man in einem Beitrag [2].
(des [3])
URL dieses Artikels:
https://www.heise.de/-6526120
Links in diesem Artikel:
[1] https://www.ibm.com/support/pages/node/6558908
[2] https://www.ibm.com/support/pages/node/6558948
[3] mailto:des@heise.de
Copyright © 2022 Heise Medien