IBM-Desaster: Wenn die Bedienoberfläche zum Einfallstor für Hacker wird

Erscheinungsdatum: 03.03.2025 -- 16:55 Uhr

IBM – Wo Sicherheit zum Fremdwort wird

Die IBM-Entwickler ↪ scheinen sich in ihrer Genialität selbst übertroffen zu haben. Während sie stolz verkünden, dass die GUI betroffen ist, bleibt die Kommandozeilenversion ↗ natürlich unberührt. Denn wer braucht schon eine sichere Bedienoberfläche, wenn man stattdessen mit dem guten alten Kommandozeilen-Charme ↪ arbeiten kann? Die Liste der verwundbaren Versionen liest sich wie das Who's Who der Sicherheitslücken: 8.5.0.x, 8.5.1.0, 8.5.2.x, 8.5.3.x, 8.5.4.0, 8.6.0.x, 8.6.1.0, 8.6.2.x, 8.6.3.0, 8.7.0.x, 8.7.1.0 und 8.7.2.x. Aber keine Sorge, die Entwickler haben in ihrer Güte die neuesten Versionen 8.5.0.14, 8.6.0.6, 8.7.0.3 und 8.7.2.2 ↗ bereits geflickt. Und für diejenigen, die noch auf den älteren Versionen festhängen, gibt es den großzügigen Ratschlag, doch bitte auf die neuesten Versionen zu migrieren. IBM nennt sogar ganz konkret die betroffenen Appliances, als wären es die Stars einer Sicherheits-Albtraum-Show: IBM FlashSystem 5×00, 7×00, 9×00, IBM Spectrum Virtualize for Public Cloud, IBM Storwize V5000, V5000E, V7000 und SAN Volume Controller.

Sicherheitslücken bei IBM – Gefahr aus dem Netz 💻

„Was die Experten sagen: Vor ein paar Tagen – warnt der Hersteller IBM eindringlich vor zwei Sicherheitslücken in der Bedienoberfläche seiner Storage-Virtualize-Produkte. Die erste Schwachsetlle ermöglicht es Angreifern ↪, Schadcode einzuschleusen und auszuführen (CVSS 9.1, Risiko „kritisch“). Durch sorgsam präparierte HTTP-Anfragen können böswillige Akteure die Authentifizierung umgehen und beliebigen Code ausführen. Die zweite Sicherheitslücke, mit einem CVSS von 8.1 als „hoch“ eingestuft, erlaubt es Angreifern, beliebigen Javascript-Code auszuführen. Diese Kombination macht die Situation besonders brisant, da Angreifer aus dem Netz so die Authentifizierung umgehen und beliebigen Code auf verwundbaren Systemen ausführen können. Dabei ist die GUI, also die Bedienoberfläche, betroffen, während die Kommandozeilenversion nicht verwundbar ist. Die Sicherheitslücken wurden in den neuesten Versionen geschlossen, aber IT-Verantwortliche sollten die Updates dennoch zügig installieren, denn wer weiß, ob die Lücken nicht bereits ausgenutzt werden? … wie ein gut geöltes Uhrwerk!“

Ähnliche Artikel …

Swift trifft Android: Patchen, Brückenbauen und die Zukunft des Codes

29. Juni 2025

Pure Storage: Flash-Systeme, Fusion, Riskante Neuausrichtung, Analysten skeptisch

29. Juni 2025

Grafikkarten-Gedöns: RTX 5050, Preise, Wettbewerber – wir schreien!

29. Juni 2025

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Neue Beiträge

Humorvolle Sicht auf vSphere Lifecycle Manager und Cluster-Management

Humorvolle Sicht auf vSphere Lifecycle Manager und Cluster-Management

10. Juli 2025
Linux-Tools für Admins: Überwachung, Befehle und Systemzustände clever nutzen

Linux-Tools für Admins: Überwachung, Befehle und Systemzustände clever nutzen

10. Juli 2025
Cyberangriffe und Meldepflichten: BSI klärt die NIS-2-Anforderungen im Detail

Cyberangriffe und Meldepflichten: BSI klärt die NIS-2-Anforderungen im Detail

10. Juli 2025
Technik-Panne: Microsoft WSUS Update-Probleme frustrieren IT-Administratoren

Technik-Panne: Microsoft WSUS Update-Probleme frustrieren IT-Administratoren

10. Juli 2025
Kubernetes in KMU: Komplexität, Vorteile und Herausforderungen verstehen

Kubernetes in KMU: Komplexität, Vorteile und Herausforderungen verstehen

10. Juli 2025