ClickCease CISA warnt vor den Sicherheitslücken in JasperReports von TIBCO Software

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

CISA warnt vor den Sicherheitslücken in JasperReports von TIBCO Software

von

11. Januar 2023. TuxCare PR Team

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat zwei alte Sicherheitslücken mit den Bezeichnungen CVE-2018-5430 (CVSS-Score: 7,7) und CVE-2018-18809 (CVSS-Score: 9,9), die das Produkt JasperReports von TIBCO Software betreffen, in die Liste der bekannten ausgenutzten Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen und begründet dies mit Hinweisen auf eine laufende Ausnutzung (KEV).

Bei der ersten der beiden Schwachstellen, CVE-2018-5430, handelt es sich um eine Schwachstelle in der Serverkomponente, durch die ein angemeldeter Benutzer Lesezugriff auf eine beliebige Anzahl von Dateien, einschließlich wichtiger Konfigurationen, erhalten könnte. Zu den Auswirkungen gehört die Möglichkeit, dass authentifizierte Benutzer Lesezugriff auf Konfigurationsdateien von Webanwendungen haben, die die Anmeldeinformationen des Servers enthalten. Laut einem damals veröffentlichten Tibco-Hinweis könnten diese Anmeldedaten dann verwendet werden, um externe Systeme zu beeinflussen, auf die der JasperReports Server zugreift.

Es kann sich auch auf einen serverseitigen Fehler zur Offenlegung von Informationen beziehen, der es einem authentifizierten Benutzer erlaubt, beliebige Dateien zu lesen. Die Schwachstelle gewährt jedem authentifizierten Benutzer Lesezugriff auf den Inhalt der Webanwendung, einschließlich wichtiger Konfigurationsdateien.

Bei der anderen Schwachstelle (CVE-2018-18809) handelt es sich um eine Directory-Traversal-Schwachstelle in IBM-Produkten, die es Webserver-Benutzern ermöglichen könnte, auf private Dateien auf dem Host zuzugreifen, so dass ein Angreifer möglicherweise Anmeldedaten stehlen und sich Zugang zu anderen Systemen verschaffen kann. Eine verzeichnisübergreifende Schwachstelle in der TIBCO JasperReports Library könnte es Webserver-Benutzern ermöglichen, auf die Inhalte des Host-Systems zuzugreifen.

Obwohl es keine öffentlichen Berichte über die böswillige Ausnutzung der beiden Schwachstellen zu geben scheint, nimmt die CISA nur dann Schwachstellen in ihre "Must Patch"-Liste auf, wenn ihr zuverlässige Hinweise auf eine Ausnutzung in freier Wildbahn vorliegen. Für beide Schwachstellen sind technische Details und Proof-of-Concept (PoC)-Exploits öffentlich zugänglich. Weitere Informationen darüber, wie die Schwachstellen in tatsächlichen Angriffen als Waffen eingesetzt werden, hat die CISA zurückgehalten. Bundesbehörden in den Vereinigten Staaten müssen ihre Systeme bis zum 19. Januar 2023 patchen.

JasperReports ist eine Java-basierte Berichts- und Datenanalyseplattform, die für die Erstellung, Verteilung und Verwaltung von Berichten und Dashboards verwendet wird.

Zu den Quellen für diesen Beitrag gehört ein Artikel in SecurityAffairs.

Zusammenfassung
CISA warnt vor den Sicherheitslücken in JasperReports von TIBCO Software
Artikel Name
CISA warnt vor den Sicherheitslücken in JasperReports von TIBCO Software
Beschreibung
Die CISA hat zwei Jahre alte Sicherheitslücken, die das Produkt JasperReports von TIBCO Software betreffen, in die Liste der bekannten Sicherheitslücken aufgenommen, die ausgenutzt werden.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Helfen Sie uns,
die Linux-Landschaft zu verstehen!

Füllen Sie unsere Umfrage zum Stand von Open Source aus und gewinnen Sie einen von mehreren Preisen, wobei der Hauptpreis mit 500 $ dotiert ist!

Ihr Fachwissen ist gefragt, um die Zukunft von Enterprise Linux zu gestalten!