IBM dicht kritieke kwetsbaarheden in Watson- en analytics-producten

Stay tuned, abonneer!

IBM heeft oplossingen voor vijf kwetsbaarheden in Java runtime aangekondigd. De bugs maken diverse versies van Watson Explorer en Watson Content Analytics kwetsbaar voor allerlei aanvallen, meldt ZDNet. Het bedrijf spreekt dan ook van kritieke lekken.

De meest ernstige kwetsbaarheid, CVE-2018-2602, werd al aangepakt in de critical-patch update van Oracle in januari vorig jaar. Daarna werd het lek gedicht in een update van IBM zelf in maart 2018. Het bedrijf bleef een artikel hierover gedurende het jaar aanvullen met informatie over oplossingen voor andere Watson-producten en -componenten.

De Java-fout is volgens het bedrijf “moeilijk om te misbruiken”, maar laat een “ongeautoriseerde aanvallen met netwerk-toegang via meerdere protocollen Java SE, Java SE Embedded en JRockit compromitteren”.

“Succesvolle aanvallen vereisen menselijke interactie van een persoon die niet de aanvaller is, en terwijl de kwetsbaarheid in Java SE, Java SE Embedded en JRockit zitten, kunnen aanvallen een significante impact hebben op andere producten. Succesvolle aanvallen via deze kwetsbaarheid kunnen resulteren in overnames van Java, Java SE Embedded en JRockit.”

Andere bugs

IBM’s product security incident response team (PSIRT) stuurde ook een waarschuwing uit voor een kritieke kwetsbaarheid die impact heeft op het IBM Decision Optimization Center, dat IBM SDK Java en IBM Runtime Environment Java versie 7 en 8 gebruikt. Deze zijn aangetast door twee bugs.

Eén van die bugs, CVE-2018-12547, is een ernstige buffer overflow, dat impact heeft op de open source Eclipse Open J9 Java virtual machine. De kwetsbaarheid kan een aanvaller op afstand in staat stellen om arbitraire code uit te voeren op het systeem of een applicatie te laten crashen. “De aanbevolen oplossing is om de IBM Java SDK zo snel mogelijk te downloaden en installeren”, aldus het bedrijf. Er zijn verder geen tijdelijke oplossingen of beperkende factoren.

Dezelfde Open 9 Java-bug heeft ook impact op de IBM Runtime Environment Java die gebruikt wordt in de IBM CPLEX Optimization Studio en IBM CPLEX Enterprise Server versies 12.9 en ouder. De CPLEX-updates pakken verder een Java SE-fout, CVE-2019-2426, aan die Oracle in januari patchte, evenals een te misbruiken kwetsbaarheid in de IBM SDK, Java Technology Edition Version 8 op het AIX Platform.

Andere producten die getroffen zijn door de drie bugs zijn IBM SDK, Java Technology Edition, Version 7 Service Refresh 10 Fix Pack 35 en eerdere versies, en IBM SDK, Java Technology Edition, Version 8 Service Refresh 5 Fix Pack 27 en oudere versies.