InfoSphere BigInsights

Die Schwachstelle betrifft die Big-Data-Plattform InfoSphere BigInsights von IBM. Mehrere ihrer Programmierschnittstellen (APIs) prüfen die übergebenen Werte nicht ausreichend: Ein angemeldeter Benutzer kann über speziell präparierte Parameter in bestimmten API-Aufrufen die vorgesehenen Beschränkungen für Dateien und Verzeichnisse umgehen. Dadurch erhält er Zugriff auf eigentlich abgeschottete Bereiche und kann auch nicht vertrauenswürdige Daten oder Programmcode einbringen. In der Folge lassen sich Daten unbefugt lesen, schreiben, verändern oder löschen – also weit über die eigenen Rechte hinaus auf fremde Inhalte zugreifen. Ausnutzbar ist der Fehler aus der Ferne, allerdings nur durch jemanden, der bereits über ein gültiges Konto auf dem System verfügt. Betroffen sind damit vor allem Umgebungen mit mehreren Nutzern, in denen die Trennung der Zugriffsrechte eine zentrale Rolle spielt.