Sicherheitslücke in IBM Business Automation Workflow behoben: Updates sind Pflicht

IBM hat eine langjährig existierende Sicherheitslücke im Business Automation Workflow (BAW) geschlossen. Der Ursprung des Problems lag in einer veralteten JavaScript-Bibliothek, dem Dojo Toolkit, die bereits 2021 eine kritische Schwachstelle (CVE-2021-23450, CVSS 9,8/10) aufwies. Diese Schwachstelle ermöglichte das Ausführen beliebigen Codes und somit potenziell die vollständige Kontrolle über den Workflow-Server.

IBM hatte die Lücke bereits 2021 bekannt gegeben und BAW als betroffen aufgeführt, aber erst jetzt liefert das Unternehmen konkrete Lösungsansätze. Aufgrund der Vielzahl an verschiedenen BAW-Versionen (sowohl im traditionellen Format als auch in Containern) und unterschiedlichen Patchlevels gestaltet sich die Problematik als komplex.

Die Handlungsanweisung für Nutzer lautet:

* Containerisierte Versionen (20.0.0.x, 21.0.x, 22.0.x, 23.0.x): Update auf entweder die reparierte Version 21.0.3-IF037 oder direkt auf den neuesten Versionsbaum 24.0.0-IF003.
* Traditionelle Version 21.0.3.1: Installation des Hotfixes DT394647.
* Traditionelle Versionen 18 bis 23: Komplette Umgebung ersetzen durch eine aktuelle Version.

Ein detaillierter IBM-Sicherheitshinweis listet alle betroffenen Versionen und die spezifischen Reparaturmaßnahmen auf. Die Aktualisierung ist zwingend erforderlich, um das Risiko einer Exploit-Nutzung zu minimieren und die Sicherheit des Systems zu gewährleisten.

IBM nutzt die Gelegenheit zur Behebung auch, um den Versionsdschungel in BAW zu reduzieren und den Nutzern eine schlankere Zukunft mit aktualisierten Versionen anzubieten.

Schlagwörter: IBM + CVE-2021-23450 + CVSS

Wie bewerten Sie den Schreibstil des Artikels?