云安全日报200806:IBM厂商多款产品发现漏洞,需要尽快升级
IBM于8月5日晚,发布了一些列安全公告。根据公告显示,IBM多款产品爆出漏洞,建议尽快升级。以下是漏洞详情:
一.商业消息中间件IBM MQ IBM MQ(IBM Message Queue)是IBM的一款商业消息中间产品,适用于分布式计算环境或异构系统之中。消息队列技术是分布式应用间交换信息的一种技术。消息队列可驻留在内存或磁盘上,队列存储消息直到它们被应用程序读走。通过消息队列,应用程序可独立地执行--它们不需要知道彼此的位置、或在继续执行前不需要等待接收程序接收此消息。不过根据IBM最近安全公告显示,IBM MQ存在漏洞。 漏洞详情 1.CVEID:CVE-2020-4375 ,CVE-2020-4376 来源:https : //www.ibm.com/support/pages/node/6255988 IBM MQ可能允许攻击者由于创建动态队列的错误导致的内存泄漏而导致拒绝服务,最终可导致目标服务器停止服务,即干掉服务器。 受影响的产品及版本: IBM MQ 9.1 LTS IBM MQ 9.0 LTS IBM MQ 8.0 IBM MQ 9.1 CD IBM WebSphere MQ 7.5 IBM WebSphere MQ 7.1 解决方案: 对于IBM WebSphere MQ 7.1: 请与IBM支持人员联系并请求对APAR IT31336的修复 对于IBM WebSphere MQ 7.5: 请与IBM支持人员联系并请求对APAR IT31336的修复 对于IBM MQ 8.0: 应用修订包8.0.0.15修复 对于IBM MQ 9.0 LTS: 应用修订包9.0.0.10修复 对于IBM MQ 9.1 LTS: 应用修订包9.1.0.5修复 对于IBM MQ 9.1 CD: 升级到IBM MQ 9.2修复 2.CVEID:CVE-2020-4329 来源:https : //www.ibm.com/support/pages/node/6255994 在IBM MQ随附的IBM WebSphere Liberty版本中发现了一个漏洞。IBM WebSphere Application Server 7.0、8.0、8.5、9.0和Liberty 17.0.0.3至20.0.0.4可能允许远程的,经过身份验证的攻击者获取由不正确的参数检查引起的敏感信息。 攻击者可以利用该漏洞进行欺骗攻击。在网络中,如果使用伪装的身份和地址与被攻击的主机进行通信,向其发送假报文,往往会导致主机出现错误操作,甚至对攻击主机做出信任判断。这时,攻击者可冒充被信任的主机进入系统,并有机会预留后门供以后使用。 受影响的产品及版本: IBM MQ 9.1 LTS IBM MQ 9.1 CD 解决方案: 对于IBM MQ 9.1 LTS: 应用修订包9.1.0.6修复 对于IBM MQ 9.1 CD: 升级到IBM MQ 9.2修复 3.CVEID:CVE-2020-4465 来源:https : //www.ibm.com/support/pages/node/6255996 用于HPE NonStop(HP服务器操作系统) 8.0、9.1 CD和9.1 LTS的IBM MQ,IBM MQ Appliance和IBM MQ由于通道处理代码中的错误而容易受到缓冲区溢出漏洞的影响。远程攻击者可能使用较旧的客户端溢出缓冲区,并导致拒绝服务。最终可导致目标服务器停止服务,即干掉服务器。 受影响的产品及版本: IBM MQ 9.1 LTS IBM MQ 9.0 LTS IBM MQ 8.0 IBM MQ 9.1 CD IBM WebSphere MQ 7.5 IBM WebSphere MQ 7.1 解决方案: 对于IBM WebSphere MQ 7.1: 请与IBM支持人员联系并请求对APAR IT32141的修复 对于IBM WebSphere MQ 7.5: 请与IBM支持人员联系并请求对APAR IT32141的修复 对于IBM MQ 8: 应用修订包8.0.0.15修复 对于IBM MQ 9.0 LTS: 应用修订包9.0.0.10修复 对于IBM MQ 9.1 LTS: 应用修订包9.1.0.6修复 对于IBM MQ 9.1 CD: 升级到IBM MQ 9.1.5修复 二.应用服务器WAS IBM WebSphere Application Server(WAS)是美国IBM公司的一款应用服务器产品。该产品是JavaEE和Web服务应用程序的平台,也是IBMWebSphere软件平台的基础。IBM WebSphere Application Server附带的IBM®SDK Java™Technology Edition中存在多个漏洞。 漏洞详情: 来源:https://www.ibm.com/support/pages/node/6256732 1.CVEID: CVE-2020-2601 Oracle Java SE中与Java SE相关的未指定漏洞,Java SE Embedded Security组件可能允许未经身份验证的攻击者获取敏感信息,从而使用未知攻击媒介对机密性造成高度影响。 2.CVEID: CVE-2020-14621 Java SE中与JAXP组件相关的未指定漏洞可能使未经身份验证的攻击者不会造成机密性影响,完整性影响低以及可用性影响。 3.CVEID: CVE-2020-14581 一种与2D组件相关的Oracle Java SE和Java SE Embedded中未指定的漏洞可能允许未经身份验证的攻击者使用未知攻击媒介来窃取敏感信息,从而导致较低的机密性影响。 4.CVEID: CVE-2020-14579 一种Java SE中与Libraries组件相关的未指定漏洞可能允许未经身份验证的攻击者使用未知攻击向量来拒绝服务,从而导致可用性影响较低。 5.CVEID: CVE-2020-14578 Java SE中与Libraries组件相关的未指定漏洞可能允许未经身份验证的攻击者拒绝服务,从而导致使用未知攻击媒介的可用性降低。 6.CVEID: CVE-2020-14577 一种与JSSE组件相关的Java SE中未指定的漏洞可能允许未经身份验证的攻击者使用未知攻击向量来获取敏感信息,从而导致较低的机密性影响。 7.CVEID: CVE-2020-2590 一种与Java SE Security组件相关的Java SE中未指定的漏洞可能允许未经身份验证的攻击者不会造成机密性影响,低完整性影响以及可用性影响。 受影响的产品及版本: WebSphere Application Server Liberty 持续交互版本 WebSphere Application Server 9.0 WebSphere Application Server 8.5 解决方案: 对于WebSphere Application Server Liberty: 升级到Java技术版本8 SR6 FP15的IBM SDK,请参阅IBM Java SDK for Liberty 对于传统的版本9 WebSphere Application Server: 使用IBM Knowledge Center中的指示信息更新到IBM SDK Java Technology Edition版本8 Service Refresh 6 FP15 ,然后在分布式环境中安装和更新IBM SDK Java Technology Edition,然后使用IBM Installation Manager来访问在线产品存储库以进行安装SDK或使用IBM Installation Manager并从Fixcentral访问软件包。 对于V8.5.0.0至8.5.5.17的WebSphere Application Server传统版和WebSphere Application Server Hypervisor版: 对于您使用的IBM SDK(Java技术版本),按照下面的临时修订中所述升级到WebSphere Application Server的最低修订包级别,然后应用临时修订: 对于IBM SDK Java Technology Edition版本7 应用临时修订PH27845:将升级到IBM SDK,Java Technology Edition,版本7 Service Refresh 10 Fix Pack 70。 对于IBM SDK Java Technology Edition版本7R1 应用临时修订PH27844:将升级到IBM SDK,Java Technology Edition,版本7R1 Service Refresh 4 Fix Pack 70。 对于IBM SDK Java Technology Edition版本8 SR6 FP15 应用临时修订PH27842:将升级到IBM SDK,Java Technology Edition,版本8 Service Refresh 6 FP15。 (编辑:应用网_阳江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |