Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

IBM stopft Sicherheitslecks in Cognos Controller

In der Business-Software IBM Cognos Controller und IBM Controller klaffen Sicherheitslücken. Die stopft der Hersteller nun mit aktualisierten Paketen. IT-Verantwortliche sollten sie zeitnah installieren.

Anzeige

In der zugehörigen Sicherheitsmitteilung erklärt IBM, dass insbesondere mitgelieferte Software von Drittherstellern, darunter Open-Source-Komponten, Sicherheitslücken enthalten. Insgesamt schließt das Update zehn Sicherheitslecks. Um die Schwachstellen abzumildern, gibt es laut IBM keine temporären Gegenmaßnahmen – Aktualisieren ist daher mandatorisch.

Während acht der Schwachstellen einen mittleren Bedrohungsgrad darstellen, stuft IBM zwei davon als hohes Risiko ein. Aufgrund einer unzureichenden Zertifikatsprüfung können unbefugte Nutzerinnen und Nutzer Zugriff auf geschützte Ressourcen erlangen (CVE-2024-40702, CVSS 8.2, Risiko "hoch"). Wie bösartige Akteure diese Schwachstelle missbrauchen können und wie das erkennbar wäre, erörtert IBM nicht.

Der mitgelieferte Axios-Client ist anfällig für eine Server-Side Request Forgery (SSRF) aufgrund eines Fehlers, bei dem Anfragen für "Path relative" URLs als "Protocol relative URLs" verarbeitet werden (CVE-2024-39338, CVSS 7.5, hoch).

Die Versionen, die die Sicherheitslücken stopfen, lauten IBM Controller 11.1.0.1 (Download in der IBM "Fix Central") sowie IBM Cognos Controller 11.0.1 FP3 (Download in IBMs "Fix Central"). Die sind zudem auch für das Cloud-Deployment verfügbar – hierfür sollen Betroffene zur Aktualisierung einen Support-Fall im IBM-Support öffnen.

Zuletzt fielen Sicherheitslücken in IBM Cognos Analytics im Jahr 2022 auf. Angreifer konnten damals Schadcode durch die Schwachstellen einschleusen und ausführen. Auch damals war für einen Großteil der Lücken Software von Drittherstellern verantwortlich.

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Dirk Knop)
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

heise-Angebot: iX-Workshop: Effiziente IT-Sicherhe...
heise-Angebot: IT-Security-Kongressmesse: Jetzt Gr...
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Montag, 20. Januar 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image