IBM hat wichtige Sicherheitsupdates für App Connect Enterprise, Cloud Object Storage Systems, Db2, PowerVM Hypervisor, Spectrum Control und WebSphere veröffentlicht. Sind Attacken erfolgreich, könnten Angreifer Systeme lahmlegen (DoS) oder sogar Schadcode ausführen.
Admins sollten die unterhalb dieser Meldung verlinkten Warnmeldungen studieren. Dort finden sie Informationen zu bedrohten und gegen Attacken abgesicherte Software-Versionen.
Eine mit der Gefahreneinstufung „hoch“ versehene Schwachstelle betrifft PowerVm Hypervisor. Hier könnte ein Angreifer den Speicher von Host-Systemen manipulieren. Durch das Versenden von einem präparierten Zip-Archiv könnten Angreifer IBM Spectrum Control und WebSphere abstürzen lassen.
Da IBM Db2 in einigen Fällen eine schwächere Verschlüsselung als gedacht einsetzt (CVE-2021-39002 „mittel“), könnten Angreifer unter Umständen Informationen entschlüsseln
Liste nach Bedrohungsgrad absteigend sortiert:
Admins sollten die unterhalb dieser Meldung verlinkten Warnmeldungen studieren. Dort finden sie Informationen zu bedrohten und gegen Attacken abgesicherte Software-Versionen.
Schadcode-Attacken
Am gefährlichsten gilt eine „kritisch“ eingestufte Lücke (CVE-2021-23358) in Node.js. Davon ist IBM App Connect Enterprise betroffen. Aufgrund eines Fehlers in einer Template-Funktion könnte ein entfernter Angreifer präparierte Anfragen verschicken und im Anschluss eigenen Code ausführen.Eine mit der Gefahreneinstufung „hoch“ versehene Schwachstelle betrifft PowerVm Hypervisor. Hier könnte ein Angreifer den Speicher von Host-Systemen manipulieren. Durch das Versenden von einem präparierten Zip-Archiv könnten Angreifer IBM Spectrum Control und WebSphere abstürzen lassen.
Da IBM Db2 in einigen Fällen eine schwächere Verschlüsselung als gedacht einsetzt (CVE-2021-39002 „mittel“), könnten Angreifer unter Umständen Informationen entschlüsseln
Liste nach Bedrohungsgrad absteigend sortiert:
- IBM App Connect Enterprise v11 is affected by vulnerabilities in Node.js
- The PowerVM hypervisor can allow an attacker that gains service access to the FSP to read and write system memory
- Multiple vulnerabilities affect IBM Cloud Object Storage Systems
- Vulnerabilities in Node.js, IBM WebSphere Application Server Liberty, and OpenSSL affect IBM Spectrum Control
- The PowerVM hypervisor is vulnerable to a carefully crafted IBMi hypervisor call that can lead to a system crash
- IBM Db2 may be vulnerable to an Information Disclosure when using the LOAD utility as under certain circumstances the LOAD utility does not enforce directory restrictions.
- IBM Db2 is vulnerable to an information disclosure as it uses weaker than expected cryptographic algorithms that could allow an attacker to decrypt highly sensitive information.
- IBM Db2 could allow a local user elevated privileges due to allowing modification of columns of existing tasks
