Zum Inhalt springen
← Alle Advisories
Hersteller

Ibm Security Advisories

12 Advisories für Ibm - mit CVE-IDs, CVSS-Score und konkreten Handlungsempfehlungen für KMUs.

CK-072026-59549Hoch

Linux Kernel: Mehrere Schwachstellen (hoch)

Was ist zu tun?

  1. Beauftragen Sie Ihren Admin, alle Linux-basierten Systeme auf aktuelle Kernel-Versionen zu aktualisieren. Beobachten Sie die Herstellerseiten auf Patches, da noch nicht für alle Plattformen Fixes vorliegen.

Häufige Fragen

Welche Systeme sind betroffen?

Betroffen sind Linux-Systeme verschiedener Hersteller, darunter Debian, Amazon Linux 2, Oracle Linux sowie mehrere Dell-Produkte.

Gibt es bereits Patches?

Die Patch-Verfügbarkeit ist derzeit unklar; prüfen Sie regelmäßig die Update-Kanäle Ihrer jeweiligen Linux-Distribution.

CK-062026-13169Hoch

Apache Kafka: Daten-Offenlegung durch Angreifer

Was ist zu tun?

  1. Pruefen Sie, ob Kafka in Ihrer Umgebung laeuft und welche Version eingesetzt wird. Spielen Sie das verfuegbare Versions-Update zeitnah ein oder beauftragen Sie Ihren Dienstleister damit.

Häufige Fragen

Wer ist von der Kafka-Luecke betroffen?

Alle Betreiber von Apache Kafka unter den Versionen 3.9.2, 4.0.2, 4.1.2 oder 4.2.0 auf Linux- und UNIX-Systemen sowie Nutzer von IBM Business Automation Workflow und Red Hat Enterprise Linux.

Gibt es bereits einen Patch fuer CVE-2026-35554?

Fuer Apache Kafka selbst sind Fixversionen veroeffentlicht; fuer IBM- und Red Hat-Produkte ist der Patch-Status noch unklar und sollte direkt beim jeweiligen Anbieter erfragt werden.

CK-062026-74212Hoch

Red Hat OpenShift/IBM: Sicherheitsumgehung via gRPC

Was ist zu tun?

  1. Informieren Sie Ihren IBM- oder Red Hat-Betreuer ueber die Luecke und fragen Sie aktiv nach verfuegbaren Sicherheitsupdates. Fuer 'IBM Storage Scale' steht ein konkretes Update bereit.

Häufige Fragen

Muss ein Angreifer angemeldet sein, um diese Luecke auszunutzen?

Ja, ein gueltiges Konto im System ist Voraussetzung fuer diesen Angriff.

Welche IBM-Produkte sind konkret betroffen?

IBM Storage Scale, IBM App Connect Enterprise, IBM DB2 und IBM MQ Operator sind betroffen.

CK-062026-68932Mittel

Red Hat Enterprise Linux: DoS via go-jose

Was ist zu tun?

  1. Pruefen Sie, ob Ihre Linux-Systeme die aktuellen Sicherheitsupdates erhalten haben. Fuehren Sie beim naechsten Wartungsfenster ein vollstaendiges System-Update durch.

Häufige Fragen

Welche Linux-Systeme sind betroffen?

Red Hat Enterprise Linux, Amazon Linux 2, Oracle Linux, Fedora und Rocky Linux sind unter anderem betroffen.

Kann ein externer Angreifer diese Luecke ausnutzen?

Ja, die Luecke ist aus dem Internet ohne vorherige Anmeldung ausnutzbar.

CK-062026-99955Mittel

IBM App Connect Enterprise: DoS-Luecke

Was ist zu tun?

  1. Admin: IBM-Support-Seite auf Patch-Veroeffentlichung pruefen und Update einplanen. Chef: Nur relevant, wenn IBM App Connect Enterprise im Unternehmen betrieben wird.

Häufige Fragen

Wer ist betroffen?

Unternehmen, die IBM App Connect Enterprise in Version 12 oder 13 unterhalb der genannten Fixversionen betreiben.

Kann ein externer Angreifer zugreifen?

Ja, die Luecke ist ohne Authentifizierung aus dem Internet ausnutzbar.

CK-062026-50765Hoch

Linux Kernel: Zahlreiche Schwachstellen (Update)

Was ist zu tun?

  1. Admin: Patch-Status bei Ihrem Linux-Distributor pruefen und verfuegbare Updates schnellstmoeglich einspielen. Chef: IT anweisen, alle Linux-Server im naechsten Wartungsfenster zu aktualisieren.

Häufige Fragen

Welche Systeme sind betroffen?

Alle gaengigen Linux-Distributionen wie Red Hat, Debian, SUSE, Oracle und Amazon Linux sind potenziell betroffen.

Kann ein externer Angreifer mein System direkt angreifen?

Ja, einige der Schwachstellen koennen aus der Ferne ausgenutzt werden und zu Systemausfaellen fuehren.

CK-062026-54575MittelPatch verfügbar

Apache log4j: Dateimanipulation moeglich

Was ist zu tun?

  1. Inventarisieren Sie alle eingesetzten Java-Anwendungen auf log4j-Nutzung und aktualisieren Sie auf Version 2.25.4. Bei IBM-Produkten Herstellerhinweise abwarten.

Häufige Fragen

Wie pruefe ich, ob log4j in meiner Umgebung eingesetzt wird?

Bitten Sie Ihren IT-Dienstleister, alle Java-Anwendungen auf eine eingebettete log4j-Bibliothek zu pruefen.

Gibt es einen Patch fuer Apache log4j?

Ja, Version 2.25.4 behebt alle fuenf gemeldeten Schwachstellen.

CK-062026-40468NiedrigPatch verfügbar

Eclipse Jetty: Sicherheitsumgehung moeglich

Was ist zu tun?

  1. Pruefen Sie, ob Eclipse Jetty oder IBM Operational Decision Manager im Einsatz ist, und aktualisieren Sie auf die genannten Fixversionen.

Häufige Fragen

Wer setzt Eclipse Jetty typischerweise ein?

Entwickler und Betreiber von Java-basierten Webanwendungen sowie Nutzer bestimmter IBM-Unternehmensprodukte.

Ist ein Angriff ohne Authentifizierung moeglich?

Ja, ein entfernter, nicht authentifizierter Angreifer kann die Luecke ausnutzen.

CK-062026-20186Niedrig

libexpat: DoS-Lücken in XML-Parser

Was ist zu tun?

  1. IBM HTTP Server auf Version 9.0.5.28 bzw. 8.5.5.30 aktualisieren, sofern eingesetzt. Fuer andere betroffene IBM-Produkte Herstellerhinweise abwarten.

Häufige Fragen

Wer ist von der libexpat-Luecke betroffen?

Hauptsaechlich Betreiber von IBM-Serverprodukten und Amazon Linux 2-Systemen.

Ist ein Angriff aus dem Internet moeglich?

Nein, der Angreifer benoetigt lokalen Zugang zum System.

CK-062026-97747Mittel

IBM DB2: Mehrere Schwachstellen (Update)

Was ist zu tun?

  1. Vergleichen Sie Ihre installierte DB2-Version mit den betroffenen Builds (V11.5 < 81937, V12.1 < 83501). Beauftragen Sie Ihren IT-Dienstleister mit dem Update.

Häufige Fragen

Welche IBM-DB2-Versionen sind betroffen?

Betroffen sind V11.5 unterhalb Special Build 81937 und V12.1 unterhalb Special Build 83501.

Ist ein Patch verfuegbar?

IBM hat Special Builds als Fixes veroeffentlicht; die allgemeine Verfuegbarkeit ist laut CERT-Bund noch unklar.

CK-062026-46143MittelPatch verfügbar

OpenSSH: Mehrere Lücken, Code-Ausführung möglich

Was ist zu tun?

  1. Prüfen Sie die installierte OpenSSH-Version auf allen Servern. Spielen Sie das Update im nächsten Wartungsfenster oder früher ein.

Häufige Fragen

Welche OpenSSH-Version ist sicher?

Ab Version 10.3 sind die bekannten Lücken geschlossen.

Sind Windows-Server auch betroffen?

Ja, OpenSSH wird auch unter Windows eingesetzt und kann dort betroffen sein.

CK-052026-38351Hoch

Red Hat Enterprise Linux: Code-Ausführung möglich

Was ist zu tun?

  1. Überprüfen Sie im Red Hat Customer Portal, ob für Ihre eingesetzten Versionen Patches vorliegen. Systeme mit direktem Internetzugang sollten vorrangig behandelt werden.

Häufige Fragen

Welche Systeme sind betroffen?

Red Hat Enterprise Linux, Satellite sowie verwandte Produkte wie Oracle Linux, Rocky Linux und IBM MQ.

Wie gefährlich ist die Lücke?

Ein externer Angreifer kann ohne vorherige Authentifizierung Schadcode ausführen oder Daten auslesen.