<html><body>
<p><font size="2" face="sans-serif">A vulnerability was discovered today with LDAP and Active Directory authentication that could allow an attacker to impersonate any LDAP-authenticated Console user. This vulnerability only exists in the 9.0.777 (patch 2) release of the IBM Endpoint Manager Server (root server component). This vulnerability does not affect Web Reports.</font><br>
<br>
<font size="2" face="sans-serif">Administrators are advised to upgrade their IEM Server immediately to 9.0.787 (patch 4) in order to resolve the vulnerability. Upgrade fixlets for 9.0.787 are currently available in the BES Support site (version 1125). If it is not possible to upgrade, administrators should </font><a href="https://www.ibm.com/developerworks/community/wikis/home?lang=en#!/wiki/Tivoli%20Endpoint%20Manager/page/Disable%20Console%20LDAP%20Authentication"><font size="2" face="sans-serif">disable LDAP and Active Directory authentication</font></a><font size="2" face="sans-serif"> to close the vulnerability. 9.0.777 upgrade fixlets have been removed from the BES Support site, and customers who planned to upgrade to 9.0.777 should instead use 9.0.787, which contains the needed fix.</font><br>
<br>
<font size="2" face="sans-serif">We have extensive processes and safeguards in place to make sure that vulnerabilities such as this are found before release, but obviously those failed us in this instance. We will be conducting a thorough review of our development and testing processes to ensure that nothing like this happens again in the future. </font><br>
<br>
<font size="2" face="sans-serif">Sincerely, </font><br>
<font size="2" face="sans-serif">Endpoint Manager Platform Team</font><br>
<br>
<br>
<font size="2" face="sans-serif">Published Site Versions:</font><br>
<font size="2" face="sans-serif">BES Support v.1125</font><br>
<br>
<font size="2" face="sans-serif">Additional Notes:</font><br>
<font size="2" face="sans-serif">- Full IBM Endpoint Manager Platform 9.0 change list: </font><a href="http://support.bigfix.com/bes/changes/fullchangelist-90.txt"><font size="2" face="sans-serif">http://support.bigfix.com/bes/changes/fullchangelist-90.txt</font></a><font size="2" face="sans-serif"> </font><br>
<font size="2" face="sans-serif">- Manual upgrade instructions are available at: </font><a href="https://www.ibm.com/developerworks/community/wikis/home?lang=en#/wiki/Tivoli%20Endpoint%20Manager/page/Upgrading"><font size="2" face="sans-serif">https://www.ibm.com/developerworks/community/wikis/home?lang=en#/wiki/Tivoli%20Endpoint%20Manager/page/Upgrading</font></a><font size="2" face="sans-serif"> </font><br>
<font size="2" face="sans-serif">- Known issues are available at: </font><a href="http://www-01.ibm.com/support/docview.wss?uid=swg21628247"><font size="2" face="sans-serif">http://www-01.ibm.com/support/docview.wss?uid=swg21628247</font></a><font size="2" face="sans-serif"> </font><br>
<br>
</body></html>