Sicherheitspatch: IBM Security Verify für Root-Attacken anfällig
Die Entwickler haben in IBMs Zugriffsmanagementlösung Security Verify mehrere Sicherheitslücken geschlossen.
(Bild: Alfa Photo/Shutterstock.com)
Admins, die den Zugriff auf Geräte über IBM Security Verify verwalten, sollten die Anwendung aus Sicherheitsgründen auf den aktuellen Stand bringen. Andernfalls können Angreifer an mehreren Sicherheitslücken ansetzen und Systeme unter Umständen vollständig kompromittieren.
Root-Sicherheitslücke
Wie aus einer Warnmeldung hervorgeht, betrifft eine besonders schwerwiegende Schwachstelle (CVE-2023-31003 „hoch“) Security Access Manager Container. Aufgrund von unzureichenden Zugriffskontrollen kann sich ein lokaler Angreifer Root-Rechte verschaffen. Wie das im Detail ausgehen könnten, führen die Entwickler derzeit nicht aus.
Der Großteil der verbleibenden Lücken ist mit „hoch“ eingestuft. An diesen Stellen können Angreifer unter anderem eine Hintertür installieren oder Nutzeraccounts übernehmen.
In einer weiteren Warnmeldung steht, dass die Entwickler auch ältere Lücken (CVE-2017-18342 „kritisch“) geschlossen haben. Darüber kann etwa Schadcode auf Systeme gelangen.
IBM gibt an, die Sicherheitsprobleme in Security Verify Access 10.0.7-ISS-ISVA-FP0000 gelöst zu haben. Davon ist auch die Docker-Version bedroht.
(des)
