IBM: Updates für ältere Java-Schwachstellen in DB2 und Content Classification
IBM weist auf löcherige Java-SDKs in mehreren Versionen von DB2 und Content Classification hin und stellt Software-Updates bereit.
(Bild: dpa, Franziska Kraufmann)
In aktuellen Sicherheitshinweisen macht IBM Nutzer des relationalen Datenbanksystems DB2 und der Software "Content Classification" zum automatisierten Klassifizieren von Inhalten auf mehrere Schwachstellen aufmerksam, deren Schweregrad von "Medium" bis "Critical" reicht.
Sie stecken in IBMs von beiden Produkten genutzter Java-Laufzeitumgebung beziehungsweise dem Java-SDK (JDK). Entfernte Angreifer könnten sie unter bestimmten Voraussetzungen missbrauchen, um ohne vorherige Authentifizierung unter anderem Denial-of-Service-Angriffe durchzuführen und im schlimmsten Fall die vollständige Kontrolle über Zielsysteme zu übernehmen.
Neu sind die Schwachstellen nicht: IBMs Sicherheitshinweisen ist zu entnehmen, dass sie bereits im April dieses Jahres im Zuge eines umfangreicheren Java-SDK-Updates gefixt wurden. Allerdings stehen jetzt sowohl für DB2 als auch für Content Classification spezielle Software-Fixes bereit, mit denen sich manuelle JDK-Aktualisierungen (soweit möglich) erübrigen. Nutzer der beiden Produkte sollten diese zeitnah auf den neuesten Stand bringen.
Fixes für mehrere DB2-Versionen
Verwundbare JDKs stecken laut IBMs Sicherheitshinweis zu DB2 in allen Fix Pack Levels der DB2-Versionen 9.7, 10.1, 10.5, und 11.1. Die jeweiligen Sicherheitsupdates können Anwender aus IBMs Update-Portal Fix Central herunterladen. Sie aktualisieren die vom Datenbanksystem verwendeten JDKs auf die abgesicherten Versionen 7.0.10.45, 7.1.4.45 beziehungsweise 8.0.5.35.
Nähere Informationen zu den insgesamt vier gepatchten Schwachstellen (CVE-2019-2684, CVE-2019-2602, CVE-2019-2697, CVE-2019-2698), aber auch Informationen für alle, die eine manuelle JDK-Aktualisierung bevorzugen, sind dem Sicherheitshinweis zu entnehmen.
Fix für Content Classification 8.8
Insgesamt sechs Schwachstellen nennt IBM im Sicherheitshinweis zu Content Classification in Version 8.8. Zu jenen, die auch DB2 betreffen, gesellen sich noch CVE-2019-10245 und CVE-2019-2699 mit dem in dieser Auflistung höchsten CVSS-v3-Score 9.0.
Zum Absichern verweist IBM auf den ebenfalls im Fix-Central-Portal verfügbaren Interim Fix 0015. (ovw)
