In unregelmäßigen Abständen veröffentlicht IBM Sicherheitshinweise zu verschiedenen Produkten in seinem Product Security Incident Response Blog. Einer der aktuellen Blogeinträge befasst sich mit einer kritischen Sicherheitslücke (CVSS-Base-Score 9.8 von 10) in mehreren Versionen des IBM Integration Designers für AIX, Linux und Windows, der laut IBM in den Produkten Business Automation Workflow and Business Process Manager zum Einsatz kommt.

IBM hat Sicherheits-Fixes für mehrere Versionen des Integration Designers bereitgestellt. Zudem hat der Hersteller seit Anfang vergangener Woche Security Bulletins zu den Produkten App Connect Professional & IBM WebSphere Cast Iron Solution, Cloud Pak for Multicloud Management, MQ Appliance und Spectrum Control veröffentlicht, die sich jeweils mit "High"-Lücken befassen. Hinzu kommen diverse Bulletins zu Medium-Lücken, die wir in dieser Meldung aber nicht einzeln aufschlüsseln.

Eine Übersicht über alle Veröffentlichungen liefert IBMs Product Security Incident Response Blog. Vorsicht: Die gefilterte Suche nach Februar 2021 liefert insgesamt 231 (teils auch mit der Einstufung "Critical" gekennzeichnete) Einträge zurück, da die Suchergebnisse auch Einträge aus den Vormonaten einschließen, an denen lediglich Aktualisierungen vorgenommen wurden.

Remote Code Execution-Lücke im Integration Designer

Laut IBMs Security Advisory zur kritischen Lücke im Integration Designer ist diese durch unauthentifizierte Angreifer aus der Ferne ausnutzbar, um beliebigen Code auf dem System auszuführen oder die Anwendung zum Absturz zu bringen. Die Sicherheitslücke, der die CVE-ID CVE-2020-27221 zugeordnet wurde, steckt eigentlich in IBMs alternativer Java Virtual Machine (JVM) Eclipse OpenJ9 als vom Integration Designer verwendete Komponente. Dank ihr können durch das Senden extrem langer Strings Pufferüberläufe verursacht werden.

Von dieser sowie von einer zweiten Sicherheitslücke (CVE-2020-14782, Einstufung "Low") sind die Integration Designer-Versionen 8.5.7, 19.0.0.2, 20.0.0.1 und 20.0.0.2 betroffen. Links zu den jeweiligen Fixes sowie weitere Informationen sind IBMS Advisory zu entnehmen.

"High"-Lücken im Überblick

Nachfolgend haben wir alle Security Bulletins aufgelistet, die seit vergangenem Montag in IBMs Blog veröffentlicht wurden und sich mit Lücken befassen, von denen einen hohes Sicherheitsrisiko ausgeht. Die meisten der Lücken betreffen Version 2.2 von IBM Cloud Pak for Multicloud Management für Linux. Die durch diverse Drittanbieter-Komponenten verursachte Lücken sind aus der Ferne unter anderem für Remote Code Execution und Denial-of-Service-Angriffe ausnutzbar und werden laut IBM durch das aktuellste, in den Bulletins verlinkte Fixpack beseitigt.

(ovw)