DFN-CERT-2016-1112 IBM Security Directory Server, IBM Tivoli Directory Server: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Unix][AIX][Solaris][Windows]

DFN-CERT portal at dfn-cert.de
Tue Jul 12 12:20:01 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  IBM Security Directory Server 6.3.1
  IBM Security Directory Server 6.4
  IBM Tivoli Directory Server 6.1
  IBM Tivoli Directory Server 6.2
  IBM Tivoli Directory Server 6.3
  

Betroffene Plattformen:

  IBM Security Directory Server
  IBM Tivoli Directory Server
  


Ein entfernter, nicht authentifizierter Angreifer kann mittels speziell
präparierter HTTP-Anfragen Lesezugriff auf beliebige Dateien das Systems
erhalten.

IBM informiert über die Schwachstelle in IBM Tivoli Directory Server 6.1 bis
inklusive 6.1.0.73, 6.2 bis inklusive 6.2.0.49 und 6.3 bis inklusive
6.3.0.42 sowie in IBM Security Directory Server in den Versionszweigen 6.3.1
bis inklusive 6.3.1.17 und 6.4 bis inklusive 6.4.0.8 und stellt für die
betroffenen Programmversionen Sicherheitsupdates bereit.


Patch:

  IBM Security Bulletin swg21986452

  <http://www-01.ibm.com/support/docview.wss?uid=swg21986452>


CVE-2015-1977: Schwachstelle in IBM Tivoli / Security Directory Server
  ermöglicht Ausspähen von Informationen 

  In der Weboberfläche des Administrationswerkzeugs der IBM Tivoli bzw.
  Security Directory Server besteht eine Schwachstelle, da relative
  Pfadangaben als Eingangsparameter nicht ausreichend geprüft werden.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1112/>

IBM Security Bulletin swg21986452:
  <http://www-01.ibm.com/support/docview.wss?uid=swg21986452>

Schwachstelle CVE-2015-1977 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1977>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160712/d0943ce7/attachment.bin>


More information about the Security-Announce mailing list