IBM MQ Operator LTS versies 2.0.0 tot en met 2.0.29 en MQ Operator CD versies 3.0.0 tot en met 3.6.0, evenals MQ Operator SC2 versies 3.2.0 tot en met 3.2.13, kunnen door onjuiste certificaatvalidatie een kwaadwillende gebruiker toestaan gevoelige informatie te verkrijgen. Dit kan grote risico’s met zich meebrengen voor uw vertrouwelijkheid.
Overzicht
De kwetsbaarheid CVE-2025-36005 betreft het potentieel voor toegang tot gevoelige gegevens via onjuiste certificaatvalidatie binnen IBM MQ Operator. Aanvallers die via hetzelfde netwerk toegang verkrijgen, kunnen gegevens bemachtigen door gebruik te maken van onjuist gevalideerde TLS-sessieverbindingen.
Aanbevelingen
- Update naar IBM MQ Operator v3.6.1 CD of hoger. Deze versie lost de beveiligingslekken op.
- Controleer of u de meest recente container images gebruikt voor IBM MQ Operator.
- Upgrade ook naar IBM MQ Container 9.4.3.0-r2 om verdere beveiliging te waarborgen.
ibm-mq-operator v3.6.1 icr.io icr.io/cpopen/ibm-mq-operator@sha256:b1bbebeb361e9e59311684da233c7d5978ffe17a78feb03eeb2411df9a0f5d03
Bronnen
Voor meer gedetailleerde informatie en updates, bezoek de IBM Support pagina.
Vraag en Antwoord
Wat is CVE-2025-36005?
Het is een kwetsbaarheid in IBM MQ Operator die kan leiden tot het lekken van gevoelige informatie door verkeerde certificaatvalidatie.
Welke systemen zijn kwetsbaar voor CVE-2025-36005?
IBM MQ Operator LTS versies 2.0.0 tot en met 2.0.29, CD versies 3.0.0 tot en met 3.6.0, en SC2 versies 3.2.0 tot en met 3.2.13.
Bestaat er al een patch of beveiligingsupdate?
Ja, upgrade naar IBM MQ Operator v3.6.1 CD en gebruik de nieuwste container images.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan gevoelige informatie verkrijgen van TLS-sessieverbindingen die via de proxy naar dezelfde host en poort worden geleid.
