IBM hat für die Business-Software Cognos Controller wichtige Updates veröffentlicht, die insgesamt zehn Sicherheitslücken schließen – darunter zwei mit hohem Risiko. Da es keine vorübergehenden Schutzmaßnahmen gibt, sollten IT-Verantwortliche die Aktualisierungen so schnell wie möglich einspielen.
Hintergrundinformationen
IBM hat Sicherheitsupdates für Cognos Controller und Controller herausgegeben, um Schwachstellen zu beheben, die sowohl Open-Source-Komponenten als auch mitgelieferte Drittsoftware betreffen. Besonders kritisch sind zwei Lücken, die als hohes Risiko eingestuft werden. Eine davon (CVE-2024-40702, CVSS 8.2) ermöglicht durch unzureichende Zertifikatsprüfung unbefugten Zugriff auf geschützte Ressourcen. Siehe: //www.ibm.com/support/pages/node/7179163
Eine weitere Schwachstelle (CVE-2024-39338, CVSS 7.5) betrifft den Axios-Client und öffnet durch Server-Side Request Forgery (SSRF) Angriffsmöglichkeiten.
Dieser wird auch in anderen Komponenten verwendet: //www.ibm.com/support/pages/security-bulletin-ibm-decision-optimization-cloud-pak-data-vulnerable-server-side-request-cve-2024-39338
Die Updates für IBM Controller (Version 11.1.0.1) und Cognos Controller (Version 11.0.1 FP3) stehen über IBMs “Fix Central” zum Download bereit. Cloud-Nutzer sollten ein Support-Ticket eröffnen, um die Aktualisierungen durchzuführen.
Bereits in der Vergangenheit waren Sicherheitslücken in IBM-Produkten auf Drittsoftware zurückzuführen. Auch diesmal bleibt schnelles Handeln unerlässlich, um Risiken zu minimieren und den Schutz der Systeme sicherzustellen.