Die Sicherheitslücken in der IBM SDK Java Technology Edition treten in der Version 6 SR16FP41 und Version 8 SR4FP1 auf. Diese betreffen alle im Folgenden aufgelisteten sowie ältere IBM Notes und IBM Domino Versionen:
- IBM Notes 8.5.3 FP6 IF14 oder älter
- IBM Notes 9.0.1 FP8 IF1 oder älter
- IBM Domino 8.5.3 FP6 IF18 oder älter
- IBM Domino 9.0.1 FP8 IF4 oder älter
Zwei Beispiele von IBM (Quelle siehe unten):
CVEID: CVE-2017-3514
DESCRIPTION: An unspecified vulnerability in Oracle Java SE related to the Java SE AWT component could allow an unauthenticated attacker to take control of the system.
CVEID: CVE-2017-1289
DESCRIPTION: IBM SDK, Java Technology Edition is vulnerable XML External Entity Injection (XXE) error when processing XML data. A remote attacker could exploit this vulnerability to expose highly sensitive information or consume memory resources.
Eine detailliertere Liste der Schwachstellen ist hier zu finden:
Mit Hilfe der aktuellen JVM-Patches in den Versionen 6 SR16FP45 bzw. 8 SR4FP5 können diese für IBM Notes/Domino 9.0.1 FP8 geschlossen werden. Der Download ist unter folgenden Links im Reiter "JVM" möglich:
- JVM patches for 8.5.3 Fix Pack 6 versions of IBM Notes, Domino & iNotes
- JVM patches for 9.0.1.x versions of IBM Notes/Domino & add-ons
Ein JVM-Patch für ältere IBM Notes/Domino Versionen erhält man durch das Öffnen eines PMR beim IBM-Support mit der SPR HYUEALUP7M.