IBM warnt vor einer kritischen Sicherheitslücke in den Betriebssystemen AIX und VIOS. Die Schwachstelle ermöglicht Angreifern, die Speicherordnung durcheinanderzubringen, und aufgrund des Schweregrads so wahrscheinlich Schadcode einzuschleusen und auszuführen. IT-Verantwortliche sollen jetzt die bereitstehenden Aktualisierungen installieren, rät der Hersteller dringend.

In der Sicherheitsmitteilung von IBM erläutern die Entwickler, dass AIX und VIOS auf den Paketmanager RPM setzen. Das wiederum setzt auf SQLite und bringt verwundbare Versionen vor 3.50.2 mit. Darin steckt eine Sicherheitslücke, die zu willkürlichen Speicherzugriffen führen können (CVE-2025-6965 / EUVD-2025-21441, CVSS 7.2, Risiko „hoch„).

Abweichend von der Einstufung der SQLite-Lücke wertet IBM den Schweregrad mit einem CVSS-Wert von 9.8 als Risiko „kritisch„. Betroffen sind AIX 7.2 und 7.3 sowie VIOS 3.1 und 4.1.

Updates rasch anwenden

IBM veröffentlicht aktualisierte RPM-Filesets, die die verwundbaren Fassungen von „rpm.rte“ von 4.15.1.1000 bis 4.15.1.1016, 4.15.1.2000 bis 4.15.1.2024 sowie 4.18.1.2000 bis 4.18.1.2006 ersetzen. Sie sind für Admins nach einem Log-in auf IBMs Webseite zum Herunterladen verfügbar. Ob anfällige Filesets auf dem System installiert sind, lässt sich mit dem Aufruf von lslpp -L | grep -i rpm.rte herausfinden.

Außerdem stellt IBM ein tar-Archiv bereit, in dem die Korrekturen für RPM stecken. Vor dem Einspielen der aktualisierten Fassungen rät IBM dazu, mittels mksysb ein Systembackup zu erstellen und sicherzustellen, dass es startet und lesbar ist. Anschließend entpackt der Befehl tar xvf rpm_fix4.tar die Updates.

Die einzelnen AIX- und VIOS-Versionen sollen dann mit dem jeweils zugehörigen Archiv aktualisiert werden. Die RPM-Version für AIX 7.2 TL5 erhalten Admins mit dem Aufruf von tar xvf rpm_fix4/rpm_41511017.tar, für AIX 7.3 TL1 mit tar xvf rpm_fix4/rpm_41512015.tar sowie für AIX 7.3 TL2, TL3 und VIOS 4.1 mit dem Befehl tar xvf rpm_fix4/rpm_41812007.tar. Daran knüpft sich noch ein weiterer Aufruf, um die Aktualisierung anzuwenden. installp -apYd . rpm simuliert einen Installationslauf, während installp -aXYd . rpm sie dann ausführt.

Admins mit IBMs AIX und VIOS hatten erst kürzlich eine Sicherheitslücke zu stopfen. Ende September waren dadurch Root-Attacken auf die Betriebssysteme möglich.

(dmk)

Der von einem Cyberangriff lahmgelegte britische Autobauer Jaguar Land Rover will die Produktion ab dem heutigen Mittwoch schrittweise wiederaufnehmen. Den Anfang machen laut einer Mitteilung des Unternehmens das Motorenwerk in Wolverhampton sowie mehrere Presswerke, die Karosseriewerkstatt, die Lackiererei und das Logistikzentrum an verschiedenen Standorten in Großbritannien. Ebenfalls noch in dieser Woche soll das Werk in der slowakischen Stadt Nitra die Fahrzeugproduktion wiederaufnehmen. Über weitere Schritte will das Unternehmen zeitnah informieren.

Der Autobauer war am 31. August Ziel einer Cyberattacke geworden, die Produktion stand danach zunächst still. Die britische Regierung half dem angeschlagenen Unternehmen Ende September mit einer Garantie für einen Milliardenkredit zur Absicherung der Lieferkette. Der Kredit kommt von einer Geschäftsbank.

Das Wiederanfahren der Produktion war zunächst für den 24. September geplant, daraus wurde jedoch nichts. Der nächste anvisierte Termin für den Neustart war zu dem Zeitpunkt der 1. Oktober. Offensichtlich ließ sich aber auch dieser Termin nicht halten.

Der Chef von Jaguar Land Rover (JLR), Adrian Mardell, bezeichnete die Wiederaufnahme der Produktion nun als „wichtigen Moment für JLR und all unsere Stakeholder“.

(dmk)

Die Bundesregierung hat entschieden: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll die Einhaltung des Cyber Resilience Acts (CRA) kontrollieren. Dieser führt für alle möglichen Kategorien vernetzter Geräte Mindestvorschriften für die IT-Sicherheit ein – inklusive Mindest-Updatezeiträumen. Wer die jeweiligen Vorschriften nicht erfüllt, darf seine Geräte in den kommenden Jahren schrittweise nicht mehr in der EU auf den Markt bringen. Damit das funktionieren kann, soll das BSI nun überwachen, ob Hersteller und Importeure die Regeln einhalten. Dass das BSI zuständig sein soll, meldete die Bundesregierung jetzt an die europaweit zuständige EU-Kommission.

Die Behörde werde ihre „Rolle sehr gewissenhaft ausfüllen und darauf achten, dass die Bürgerinnen und Bürger ihre IT-Produkte mit einem sicheren Gefühl nutzen können“, kündigte Präsidentin Claudia Plattner an. Der CRA sei ein „Gamechanger für die Sicherheit digitaler Produkte“, da damit in der Breite das Cybersicherheitsniveau gesteigert werde, so Plattner. Eine Komplettüberwachung aller vernetzten Geräte ist dabei aber weder praktisch möglich noch gesetzlich vorgesehen. Wie bei der behördlichen Marktüberwachung üblich, will das BSI stattdessen stichprobenartig oder in gezielten Aktionen IT-Produkte auf Cybersicherheit überprüfen.

Marktverbote und Geldbußen möglich

Bislang war das BSI keine Marktüberwachungsbehörde, auch wenn es mit dem IT-Sicherheitskennzeichen und der Befugnis für Produktwarnungen aus dem BSI-Gesetz schon verwandte Kompetenzen hatte. Im Rahmen des CRA darf die Behörde künftig bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Umsatzes eines Anbieters als Strafe verhängen, je nachdem, welche Summe höher ist. So wie auch bei anderen Marktüberwachungs-Regimen darf das BSI künftig dann auch bei regelwidrigen Produkten ein Vertriebsverbot aussprechen. Zugleich ist das BSI als Konformitätsbewertungsstelle künftig für die Kriterien zuständig, nach denen Dritte die Einhaltung von Sicherheitsvorgaben für die unterschiedlichen Produktkategorien des CRA vergeben. Schnittstellen wird es auch weiterhin zur Bundesnetzagentur geben: Diese ist für einige verwandte Marktüberwachungsaufgaben zuständig, etwa im Bereich der sogenannten Funkanlagen-Richtlinie.

Deutsche Anbieter zufrieden mit Klarheit

Für die Elektro- und Digitalindustrie sei es eine gute Nachricht, dass die Zuständigkeit nun klar benannt sei, sagt Lennard Kreißl vom ZVEI, der die Unternehmen im Verband bei der Cybersicherheit auf Produktebene gut aufgestellt sieht. „Eben deshalb wünschen wir uns eine starke und umfassende Marktüberwachung, die dazu aber mit genügend Ressourcen und Kapazitäten ausgestattet werden muss“, sagt Kreißl auf Anfrage von heise online. Hier müsse das BSI in der Fläche noch aufgestockt werden, fordert der für Cybersicherheit zuständige Manager des ZVEI.

(mki)