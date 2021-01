Nach einer Pause über die Feiertage hat IBM in der vergangenen Woche die ersten Sicherheitsupdates in 2021 veröffentlicht. Schwachstellen von Einstufungen von "Low" bis "High" betreffen zahlreiche Produkte quer durchs Portfolio des Unternehmens. Darüber hinaus lauert eine kritische Schwachstelle in mehreren Versionen von IBM Aspera High-Speed Transfer (Server und Endpoint). Sie ermöglicht unter bestimmten Voraussetzungen die beliebige Code-Ausführung aus der Ferne (Remote Code Execution) auf verwundbaren Systemen.

Die vorliegende Meldung konzentriert sich auf jene Schwachstellen mit hoher bis kritischer Risikoeinstufung. Eine Übersicht über alle Veröffentlichungen liefert IBMs Product Security Incident Response Blog. Vorsicht: Eine gefilterte Suche nach Januar 2021 liefert insgesamt 77 Einträge zurück; allerdings umfassen die Suchergebnisse auch Einträge aus den Vormonaten, an denen lediglich Aktualisierungen vorgenommen wurden.

Kritisch: Aspera High-Speed Transfer abgesichert

Die kritische Schwachstelle CVE-2020-35728 betrifft alle Server- und Endpoint-Versionen von IBM Aspera High-Speed Transfer bis einschließlich Version 3.9.6.2 für Linux, Linux on IBM Z Systems, AIX, macOS und Windows. CVE-2020-35728 steckt nicht in IBMs Software selbst, sondern in der externen Jackson-API, genauer: in der Versionsreihe 2.x von FasterXML/jackson-databind vor Version 2.9.10.8.

Die mit dem CVSS-Score 9.8 bewertete Schwachstelle wurde in IBM Aspera High-Speed Transfer Server und Endpoint 4.0 beseitigt. Links zu den verfügbaren Updates sind dem Security Bulletin zu entnehmen:

"High"-Schwachstellen im Überblick

Nachfolgend haben wir die seit Anfang des Jahres erschienenen Security Bulletins mit "High"-Einstufung alphabetisch aufgelistet:

