In der Business-Software IBM Cognos Controller und IBM Controller klaffen Sicherheitslücken. Die stopft der Hersteller nun mit aktualisierten Paketen. IT-Verantwortliche sollten sie zeitnah installieren.
Anzeige
In der zugehörigen Sicherheitsmitteilung erklärt IBM, dass insbesondere mitgelieferte Software von Drittherstellern, darunter Open-Source-Komponten, Sicherheitslücken enthalten. Insgesamt schließt das Update zehn Sicherheitslecks. Um die Schwachstellen abzumildern, gibt es laut IBM keine temporären Gegenmaßnahmen – Aktualisieren ist daher mandatorisch.
Während acht der Schwachstellen einen mittleren Bedrohungsgrad darstellen, stuft IBM zwei davon als hohes Risiko ein. Aufgrund einer unzureichenden Zertifikatsprüfung können unbefugte Nutzerinnen und Nutzer Zugriff auf geschützte Ressourcen erlangen (CVE-2024-40702, CVSS 8.2, Risiko "hoch"). Wie bösartige Akteure diese Schwachstelle missbrauchen können und wie das erkennbar wäre, erörtert IBM nicht.
Der mitgelieferte Axios-Client ist anfällig für eine Server-Side Request Forgery (SSRF) aufgrund eines Fehlers, bei dem Anfragen für "Path relative" URLs als "Protocol relative URLs" verarbeitet werden (CVE-2024-39338, CVSS 7.5, hoch).
Die Versionen, die die Sicherheitslücken stopfen, lauten IBM Controller 11.1.0.1 (Download in der IBM "Fix Central") sowie IBM Cognos Controller 11.0.1 FP3 (Download in IBMs "Fix Central"). Die sind zudem auch für das Cloud-Deployment verfügbar – hierfür sollen Betroffene zur Aktualisierung einen Support-Fall im IBM-Support öffnen.
Zuletzt fielen Sicherheitslücken in IBM Cognos Analytics im Jahr 2022 auf. Angreifer konnten damals Schadcode durch die Schwachstellen einschleusen und ausführen. Auch damals war für einen Großteil der Lücken Software von Drittherstellern verantwortlich.
(
Kommentare