IBM MQ Appliance爆出多个漏洞,或殃及政府和银行等部门
美国IBM是全球最大的信息技术和业务解决方案公司.在过去的几年里,IBM已经完成了业务模式的完全转型。IBM 的全球能力包括服务、软件、硬件系统、研发及相关融资支持。IBM的业务模式是灵活的,能够与不断变化的市场和经济环境相适应。IBM始终以超前的技术、出色的管理和独树一帜的产品领导着信息产业的发展,保证了世界范围内几乎所有行业用户对信息处理的全方位需求。 不过IBM于7月23日发布了安全公告,IBM MQ Appliance存在大量漏洞,可升级修复。 什么是IBM MQ IBM MQ消息队列(MQ)是一种应用程序对应用程序的通信方法。应用程序通过写和检索出入列队的针对应用程序的数据(消息)来通信,而无需专用连接来链接它们。消息传递指的是程序之间通过在消息中发送数据进行通信,而不是通过直接调用彼此来通信,直接调用通常是用于诸如远程过程调用的技术。 IBM MQ属于一种比较老旧的应用通信方式,在互联网应用的开发中较少见到,经常被一些政府公共部门,银行等企业用来做数据传输和报文收发. 什么是IBM MQ Appliance IBM MQ Appliance是美国IBM公司的一款用于快速部署企业级消息中间件的一体机设备。作为功能强大且高效的硬件设备,IBM MQ Appliance简化了IBM MQ的设置和维护,降低了总体拥有成本(TCO),因为它可以扩展并简化您与合作伙伴和远程位置的联系。 漏洞详情: 1.IBM MQ Appliance 缓冲区错误漏洞(CVE-2020-4465) 由于通道处理代码中的错误,用于HPE NonStop的IBM MQ,IBM MQ Appliance和IBM MQ容易受到缓冲区溢出漏洞的影响。远程攻击者可能使用较旧的客户端溢出缓冲区,并导致拒绝服务。 受影响的产品和版本: IBM MQ设备 8.0 IBM MQ设备 9.1 LTS IBM MQ设备 9.1 CD 漏洞修复 IBM MQ设备8.0应用修订包8.0.0.15或更高版本。 IBM MQ设备9.1 LTS 应用修订包9.1.0.6或更高版本。 IBM MQ Appliance 9.1CD 应用IBM MQ Appliance 9.2或更高版本。 2.IBM MQ Appliance拒绝服务(Dos)漏洞(CVE-2020-4375) 攻击者可利用该漏洞造成拒绝服务。 受影响的产品和版本: IBM MQ设备 8.0 IBM MQ设备 9.1 LTS IBM MQ设备 9.1 CD 漏洞修复 IBM MQ设备8.0应用修订包8.0.0.15或更高版本。 IBM MQ设备9.1 LTS应用修订包9.1.0.5或更高版本。 IBM MQ Appliance 9.1 CD应用IBM MQ Appliance 9.2或更高版本。 3.IBM MQ Appliance 跟踪漏洞(CVE-2019-4731) 本地攻击者可以通过此漏洞来获取高度敏感的信息。 受影响的产品和版本: IBM MQ设备 9.1.4 CD 漏洞修复 IBM MQ Appliance 9.1版CD应用修订包9.1.5或更高版本。 4.IBM MQ Appliance信息泄露漏洞(CVE-2020-4319,CVE-2020-4498) 适用于HPE NonStop的IBM MQ,IBM MQ Appliance和IBM MQ在特殊情况下可以允许经过身份验证的用户获取敏感信息,这是由于v7之前版本中的发布订阅(pubsub)逻辑错误消息造成的数据泄漏. 受影响的产品和版本: IBM MQ设备 8.0 IBM MQ设备 9.1 LTS IBM MQ设备 9.1 CD 漏洞修复 IBM MQ设备8.0应用修订包8.0.0.15或更高版本。 IBM MQ设备9.1 LTS应用修订包9.1.0.6或更高版本。 IBM MQ Appliance 9.1CD应用IBM MQ Appliance 9.2或更高版本。 (编辑:应用网_阳江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |