Sicherheitsupdates: Java- und Kernel-LĂĽcken in IBM AIX bedrohen Server
Angreifer könnten Server mit IBM AIX attackieren und im schlimmsten Fall die volle Kontrolle über Systeme erlangen.
Admins sollen ihre Server mit dem Unix-Betriebssystem IBM AIX auf den aktuellen Stand bringen. Mehrere Java- und Kernel-LĂĽcken machen Systeme verwundbar. Keine der SicherheitslĂĽcken ist als kritisch eingestuft.
In einer Warnmeldung geben die IBM-Entwickler an, insgesamt neun Schwachstellen in Java SDK geschlossen zu haben, die AIX betreffen. Der Großteil ist mit dem Bedrohungsgrad "mittel" eingestuft. Als am gefährlichsten gelten eine Lücke in Eclipse Openj9 (CVE-2021-41035 "hoch") und Java SE (CVE-2021-35560 "hoch").
Jetzt patchen
Bringen Angreifer Opfer im ersten Fall dazu, ein präpariertes Programm zu öffnen, könnten sie sich höhere Rechte verschaffen und eigenen Code ausführen. Die Java-SE-Lücke kann als Schlupfloch zur System-Übernahme dienen. Um Server abzusichern, sollten Admins eine der abgesicherten Java-SDK-Versionen installieren:
- IBM SDK, Java Technology Edition, Version 7 Service Refresh 11
- IBM SDK, Java Technology Edition, Version 7R1 Service Refresh 5
- IBM SDK, Java Technology Edition, Version 8 Service Refresh 7
Die beiden Kernel-Lücken (CVE-2021-38995, CVE-2021-38994) sind mit "mittel" eingestuft. Für erfolgreiche Attacken brauchen Angreifer lokalen Zugriff. Sind Attacken erfolgreich, resultiert das in DoS-Zuständen. Das führt in der Regel dazu, dass Systeme abstürzen. Hinweise zu reparierten AIX-Versionen findet man in einem Beitrag.
(des)