IBM App Connect Enterprise Toolkit kann Daten leaken

Admins von IBM-Anwendungen sollten aus Sicherheitsgründen die aktuellen Updates installieren. Geschieht das nicht, können Angreifer Systeme attackieren und unter anderem Schadcode ausführen. Bislang gibt es keine Berichte zu laufenden Angriffen.

Sicherheitspatches verfügbar

Am gefährlichsten gilt eine Lücke (CVE-2025-4949 „kritisch„) in der Eclipse-JGit-Komponente von IBM App Connect Enterprise Toolkit und Integration Bus for z/OS Toolkit. Werden von Angreifern präparierte XML-Dateien verarbeitet, kann es zu Fehlern kommen. Klappt solch eine Attacke, leaken etwa Daten oder es kommt zu DoS-Zuständen. Die Entwickler geben an, das Sicherheitsproblem in v13 Fix Pack Release 13.0.5.0 gelöst zu haben.

Eine Schadcode-Lücke (CVE-2025-36245 „hoch„) bedroht InfoSphere Information Server. Dafür muss ein Angreifer aber authentifiziert sein. Ist das gegeben, kann er eigene Befehle ausführen.

Die verbleibenden Schwachstellen sind mit dem Bedrohungsgrad „mittel“ eingestuft. An diesen Stellen können Angreifer etwa WebSphere Application Server über eine DoS-Attacke lahmlegen. Weiterführende Informationen zu den Lücken und Sicherheitsupdates finden Admins in den verlinkten Warnmeldungen.

Zuletzt haben IBMs Entwickler DoS-Lücken in der Datenanalyseplattform SPSS Analytic Server geschlossen.

Liste nach Bedrohungsgrad absteigend sortiert:

(des)