Kontakt
QR-Code für die aktuelle URL

Story Box-ID: 1273795

Empalis Consulting GmbH Wankelstraße 14 70563 Stuttgart, Deutschland https://www.empalis.de/
Ansprechpartner:in Frau Constantina Budi 067216813209
Logo der Firma Empalis Consulting GmbH

IBM FLASH: Security Bulletins vom 12.11.2025: Hier finden Sie den CVSS Basis Score ab Stufe 7 mit Linkliste

Heute hat die IBM einige FLASH: Security Bulletins veröffentlicht, die IBM Storage Protect betreffen.

(PresseBox) (Stuttgart, )
 

In einer Zusammenfassung haben wir die Meldungen mit den CVSS Basis Score ab Stufe 7 aufgelistet.

Die Links zu allen am 12.11.2025 veröffentlichten IBM FLASH: Security Bulletins finden Sie am Ende dieses Beitrags.

IBM Storage Protect Operations Center is vulnerable to improper access control and stack overflow due to IBM SDK, Java (CVE-2025-21587, CVE-2025-30698, CVE-2025-4447).Zusammenfassung

IBM SDK, Java ist anfällig für unsachgemäße Zugriffskontrolle und Speicherüberlauf (stack overflow). IBM Storage Protect Operations Center verwendet IBM SDK, Java und ist möglicherweise von dieser Sicherheitslücke betroffen.

CVEID:   CVE-2025-21587

DESCRIPTION:   An unspecified vulnerability in Java SE related to the Server: DDL component could allow a remote attacker to cause high confidentiality and high integrity impact.
CWE:   CWE-284: Improper Access Control
CVSS Source:   secalert_us@oracle.com
CVSS Base score:   7.4
CVSS Vector:   (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N)

CVEID:   CVE-2025-4447

DESCRIPTION:   In Eclipse OpenJ9 versions up to 0.51, when used with OpenJDK version 8 a stack based buffer overflow can be caused by modifying a file on disk that is read when the JVM starts.
CWE:   CWE-121: Stack-based Buffer Overflow
CVSS Source:   NVD
CVSS Base score:   7.8
CVSS Vector:   (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)

IBM Storage Protect Affected Versions: 8.1.0.000 - 8.1.27.xxx

Fixing Level: 8.1.27.100

Security Bulletin: IBM Storage Protect Server is vulnerable to unauthenticated attacker with network access via multiple protocols and TLS due to IBM SDK, Java (CVE-2025-50106, CVE-2025-30749, CVE-2025-30761, CVE-2025-30754)Zusammenfassung

IBM SDK, Java ist anfällig für nicht authentifizierte Angreifer mit Netzwerkzugriff über mehrere Protokolle und TLS. IBM Storage Protect Server verwendet IBM SDK, Java und ist möglicherweise von dieser Sicherheitslücke betroffen.

CVEID:   CVE-2025-50106

DESCRIPTION:   Vulnerability in the Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: 2D). Supported versions that are affected are Oracle Java SE: 8u451, 8u451-perf, 11.0.27, 17.0.15, 21.0.7, 24.0.1; Oracle GraalVM for JDK: 17.0.15, 21.0.7 and 24.0.1; Oracle GraalVM Enterprise Edition: 21.3.14. Difficult to exploit vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Successful attacks of this vulnerability can result in takeover of Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Note: This vulnerability can be exploited by using APIs in the specified Component, e.g., through a web service which supplies data to the APIs. This vulnerability also applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. CVSS 3.1 Base Score 8.1 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H).
CVSS Source:   secalert_us@oracle.com
CVSS Base score:   8.1
CVSS Vector:   (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)

CVEID:   CVE-2025-30749

DESCRIPTION:   Vulnerability in the Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: 2D). Supported versions that are affected are Oracle Java SE: 8u451, 8u451-perf, 11.0.27, 17.0.15, 21.0.7, 24.0.1; Oracle GraalVM for JDK: 17.0.15, 21.0.7 and 24.0.1; Oracle GraalVM Enterprise Edition: 21.3.14. Difficult to exploit vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Successful attacks of this vulnerability can result in takeover of Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Note: This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. This vulnerability does not apply to Java deployments, typically in servers, that load and run only trusted code (e.g., code installed by an administrator). CVSS 3.1 Base Score 8.1 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H).
CVSS Source:   secalert_us@oracle.com
CVSS Base score:   8.1
CVSS Vector:   (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)

IBM Storage Protect Affected Versions: 8.1.0.000 - 8.1.27.xxx

Fixing Level: 8.2 (Noch nicht verfügbar und soll Ende Quartal 4 2025 veröffentlicht werden.)

Security Bulletin: Denial of Service vulnerability in WebSphere Application Server Liberty affects IBM Storage Protect Operations Center (CVE-2025-36097)Zusammenfassung

IBM WebSphere Application Server Liberty ist anfällig für Denial-of-Service-Angriffe, die sich auf IBM Spectrum Protect (ehemals Tivoli Storage Manager) Operations Center auswirken können.

CVEID:   CVE-2025-36097

DESCRIPTION:   IBM WebSphere Application Server 9.0 and WebSphere Application Server Liberty 17.0.0.3 through 25.0.0.7 are vulnerable to a denial of service, caused by a stack-based overflow. An attacker can send a specially crafted request that cause the server to consume excessive memory resources.
CWE:   CWE-121: Stack-based Buffer Overflow
CVSS Source:   IBM
CVSS Base score:   7.5
CVSS Vector:   (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

IBM Storage Protect Affected Versions: 8.1.0.000 - 8.1.27.xxx

Fixing Level: 8.1.27.100

Security Bulletin: DoS vulnerability in Apache Commons FileUpload vulnerability in WebSphere Application Server Liberty affects IBM Storage Protect Operations Center (CVE-2025-48976)Zusammenfassung

IBM WebSphere Application Server Liberty ist anfällig für DoS-Angriffe in Apache Commons FileUpload, die sich auf IBM Spectrum Protect (ehemals Tivoli Storage Manager) Operations Center auswirken können.

CVEID:   CVE-2025-48976

DESCRIPTION:   Allocation of resources for multipart headers with insufficient limits enabled a DoS vulnerability in Apache Commons FileUpload. This issue affects Apache Commons FileUpload: from 1.0 before 1.6; from 2.0.0-M1 before 2.0.0-M4. Users are recommended to upgrade to versions 1.6 or 2.0.0-M4, which fix the issue.
CWE:   CWE-770: Allocation of Resources Without Limits or Throttling
CVSS Source:   CISA ADP
CVSS Base score:   7.5
CVSS Vector:   (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

IBM Storage Protect Affected Versions: 8.1.0.000 - 8.1.27.xxx

Fixing Level: 8.1.27.100

Security Bulletin: IBM Storage Protect Server is susceptible to a vulnerability due to Golang crypto library.Zusammenfassung

Die Golang-Kryptobibliothek wird vom IBM Storage Protect Server Object Agent und der OSSM-Komponente verwendet. Golang Crypto ist anfällig für Denial-of-Service-Angriffe. In diesem Bulletin werden die Schritte zur Behebung der Sicherheitslücken beschrieben. CVE-2025-22869.

CVEID:   CVE-2025-22869

DESCRIPTION:   SSH servers which implement file transfer protocols are vulnerable to a denial of service attack from clients which complete the key exchange slowly, or not at all, causing pending content to be read into memory, but never transmitted.
CWE:   CWE-770: Allocation of Resources Without Limits or Throttling
CVSS Source:   CISA ADP
CVSS Base score:   7.5
CVSS Vector:   (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

IBM Storage Protect Affected Versions: 8.1.0.000 - 8.1.27.xxx

Fixing Level: 8.1.27.100

Security Bulletin: IBM Storage Protect Server is susceptible to a vulnerability due to Golang coredns libraryZusammenfassung

Die Golang-coredns-Bibliothek wird vom IBM Storage Protect Server Object Agent und der OSSM-Komponente verwendet. Golang coredns ist anfällig für Denial-of-Service-Angriffe. In diesem Bulletin werden die Schritte zur Behebung der Sicherheitslücken beschrieben. CVE-2025-47950.

CVEID:   CVE-2025-47950

DESCRIPTION:   CoreDNS is a DNS server that chains plugins. In versions prior to 1.12.2, a Denial of Service (DoS) vulnerability exists in the CoreDNS DNS-over-QUIC (DoQ) server implementation. The server previously created a new goroutine for every incoming QUIC stream without imposing any limits on the number of concurrent streams or goroutines. A remote, unauthenticated attacker could open a large number of streams, leading to uncontrolled memory consumption and eventually causing an Out Of Memory (OOM) crash — especially in containerized or memory-constrained environments. The patch in version 1.12.2 introduces two key mitigation mechanisms: `max_streams`, which caps the number of concurrent QUIC streams per connection with a default value of `256`; and `worker_pool_size`, which Introduces a server-wide, bounded worker pool to process incoming streams with a default value of `1024`. This eliminates the 1:1 stream-to-goroutine model and ensures that CoreDNS remains resilient under high concurrency. Some workarounds are available for those who are unable to upgrade. Disable QUIC support by removing or commenting out the `quic://` block in the Corefile, use container runtime resource limits to detect and isolate excessive memory usage, and/or monitor QUIC connection patterns and alert on anomalies.
CWE:   CWE-770: Allocation of Resources Without Limits or Throttling
CVSS Source:   security-advisories@github.com
CVSS Base score:   7.5
CVSS Vector:   (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

IBM Storage Protect Affected Versions: 8.1.0.000 - 8.1.27.xxx

Fixing Level: 8.1.27.100

Hier geht es zum gesamten Beitrag mit Link-Liste

Sie haben Rückfragen zu IBM Storage Protect oder den Security Bulletins? Schreiben Sie mir gerne eine Mail.

Andreas Schwab, Senior Consultant
Telefon +49 171 954 86 44

Empalis-Team 

Website Promotion

Website Promotion
Ihre Daten sind Ihr Unternehmen. Gehen Sie mit uns auf Nummer sicher.

Empalis Consulting GmbH

Empalis Consulting – Cyberresiliente Data Protection

Seit 1989 hat die Empalis Consulting ihre Geschäftsbereiche Beratung, Training und Managed Service zu kompakten Leistungspaketen entwickelt. Effiziente Beratung, hervorragende Qualität und zukunftsorientierte Partnerschaften sind unsere zentralen Leitplanken.

Unsere Data Protection-Lösungen zeichnen sich durch jahrzehntelange Praxiserfahrung zum Aufbau von mehr Cyber Resilience in den Backup-Architekturen unserer Kunden aus. Sie erhalten bei uns Expertise und Know-how für

• Modernen Datensicherungskonzepte
• Ransomware-Vorsorge
• Disaster Recovery
• Snapshot Technologien
• Cloud-Storage und Backup as a Service.
• Container Technologien und Orchestration in Linux Umfeld

VIKING Backup

Strategieberatung und Lösungen aus einer Hand: Mit der VIKING-Strategieberatung optimieren und verschlanken wir Ihre Backup-Architekturen und -Prozesse. Als Auftakt zur VIKING Strategieentwicklung empfehlen wir unseren Startworkshop Empalis Health Check, um auf dieser Erkenntnisbasis weitere Schritte mit Ihnen zu besprechen. Wir beraten und unterstützen Sie in der Planung und Umsetzung bis hin zum Betrieb – und bieten auch hier mit unserem Managed Service wählbare Unterstützungsmodule.

VIKING bietet Ihnen von der Backup-Komplettlösung VIKING Backup Guardian bis hin zur modularen Sofort-Lösung VIKING BaaS und VIKING 365 für Microsoft 365-Backup sowie der VIKING Appliance als einfach zu bedienende, beliebig skalierbare Plug-and-Play-Lösung für Sie passende, individuell konfigurierbare Wege zu mehr Cyber Resilience in cyberunsicheren Zeiten.

Managed Service Angebote

Empalis Service Plus (ESPlus) steht für ganzheitliche Lösungen und auf die Ansprüche unserer Kunden angepasste Leistungen. Wir optimieren und orchestrieren für Sie Software, Hardware, Konzepte, Schulung und Betrieb. Um Investitionssicherheit zu garantieren, integrieren wir auf Wunsch vorhandene Bestandteile Ihrer Infrastruktur in unseren Managed Service, je nach SLA flexibel wählbar von Monitoring only bis full managed. Mit unserem optionalen 24x7-Support und Betrieb können sich unsere Kunden jederzeit und gerade in kritischen Situationen auf uns verlassen.

Ihre Experten in Automation

Anwendern im Bereich System z/OS und Open Systems bieten wir Beratung und Unterstützung bei Entwicklung, Administration und Betrieb in den Themen rund um Linux, Containerisierung, Automation und Virtualisierungstechnologien.

Win-win: Unsere Kunden und Partnerschaften

Unsere Kunden aus dem Enterprise-Umfeld und dem Mittelstand profitieren von unseren langjährig ausgebauten Kooperationen mit Marktführern, darunter Veeam, IBM, Cohesity, Wasabi, Microsoft, Predatar, Linux u.v.w. Mit heute auch eigenen Lösungen, die diese miteinander und in unserer eigenen Cloud durch sinnvolle Architekturen verbinden, bieten wir Ihnen ein noch breiteres Experten-Netzwerk für Ihren Projekterfolg.

Neben Technologie-Herstellern pflegen wir auch Partnerschaften mit anderen Beratungshäusern, Organisationen, Trainingsanbietern und Hochschulen. Wir beteiligen uns darüber hinaus an Entwickler-Labs namhafter Hersteller und testen auch im eigenen Lab Technologien am Markt. Auch ein Argument für Interessenten auf der Suche nach neuen beruflichen Wegen, sich bei der Empalis zu bewerben.

Denn Perfektion geht nur gemeinsam.

Empalis als Arbeitgeber

Wir arbeiten selbstbestimmt und handeln als Team. Seit einigen Jahren werden wir als kununu Top Company [LINK] ausgezeichnet – auf Basis der Bewertungen unserer Mitarbeitenden und BewerberInnen. Für uns zählt eine Unternehmenskultur, die individuelle Entwicklung und gemeinschaftliches Handeln ausbalanciert – wobei wir Wert auf Eigenständigkeit und eine proaktive Haltung legen. Rund 40 Köpfe arbeiten bei Empalis –unterstützen sich gegenseitig und sorgen gemeinsam für eine Atmosphäre der Motivation, Selbstbestimmtheit und Freiheit sowie Sicherheit.

Für die oben stehenden Storys, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.
Wichtiger Hinweis:

Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die unn | UNITED NEWS NETWORK GmbH gestattet.

unn | UNITED NEWS NETWORK GmbH 2002–2026, Alle Rechte vorbehalten

Für die oben stehenden Storys, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.