云安全日报200901：IBM主动故障管理系统发现高危漏洞，需要尽快升级

发布时间：2020-09-02 19:35:06 所属栏目：模式来源：TechWeb.com.cn

导读：IBM Operationas Analytics Predictive Insights是美国IBM公司的一套主动故障管理系统。该系统能够监测物理和逻辑基础设备的性能，并在发生故障时发出警报。不过根据8月31日IBM安全公告显示，该主动故障管理系统爆出高危漏洞，需要尽快升级，以下是漏洞详

IBM Operationas Analytics Predictive Insights是美国IBM公司的一套主动故障管理系统。该系统能够监测物理和逻辑基础设备的性能，并在发生故障时发出警报。

不过根据8月31日IBM安全公告显示，该主动故障管理系统爆出高危漏洞，需要尽快升级，以下是漏洞详情：

漏洞详情

来源：

https://www.ibm.com/support/pages/node/6324679

IBM Operations Analytics Predictive Insights使用Faster-XML Jackson-databind（FasterXMLjackson-databind是一个简单基于Java应用库，Jackson可以轻松的将Java对象转换成json对象和xml文档，同样也可以将json、xml转换成Java对象）（公开的漏洞）。不过值得注意的是，在IBM Operations Analytics Predictive Insights中使用Jackson-databind仅限于REST(Representational State Transfer，是一种针对网络应用的设计和开发方式，可以降低开发的复杂性，提高系统的可伸缩性)中介实用程序。如果您没有安装此服务，则不受此公告的影响。

1.CVEID： CVE-2020-10969 CSS评分：9.8 高危

FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码，这是由javax.swing.JEditorPane中不安全的反序列化引起的。通过发送特制的输入，攻击者可以利用此漏洞在系统上执行任意代码。

2.CVEID： CVE-2020-11619 CSS评分：9.8 高危

FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码，这是由org.springframework.aop.config.MethodLocatingFactoryBean（又称为spring-aop）中不安全的反序列化引起的。通过发送特制的输入，攻击者可以利用此漏洞在系统上执行任意代码。

3.CVEID： CVE-2020-11111 CSS评分：9.8 高危

由于org.apache.activemq。*（又名activemq-jms，activemq-core，activemq-pool和activemq-pool-jms）中的不安全反序列化，FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码）。通过发送特制的输入，攻击者可以利用此漏洞在系统上执行任意代码。

4.CVEID： CVE-2020-11620 CSS评分：9.8 高危

由于org.apache.commons.jelly.impl.Embedded（又名commons-jelly）中的不安全反序列化，FasterXML Jackson-databind可能允许远程攻击者在系统上执行任意代码。通过发送特制的输入，攻击者可以利用此漏洞在系统上执行任意代码。

5.CVEID： CVE-2020-10672 CSS评分：9.8 高危

由于org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory（aka aries.transaction.jms）中的不安全反序列化，FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码。通过发送特制的输入，攻击者可以利用此漏洞在系统上执行任意代码。

6.CVEID： CVE-2020-11112 CSS评分：9.8 高危

由于org.apache.commons.proxy.provider.remoting.RmiProvider（aka apache / commons-proxy）中不安全的反序列化，FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码。通过发送特制的输入，攻击者可以利用此漏洞在系统上执行任意代码。

7.CVEID： CVE-2020-10673 CSS评分：9.8 高危

由于com.caucho.config.types.ResourceRef（aka caucho-quercus）中的不安全反序列化，FasterXML Jackson-databind可能允许远程攻击者在系统上执行任意代码。通过发送特制的输入，攻击者可以利用此漏洞在系统上执行任意代码。

8.CVEID： CVE-2020-10968 CSS评分：9.8 高危

由于org.aoju.bus.proxy.provider.remoting.RmiProvider（aka bus-proxy）中不安全的反序列化，FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码。通过发送特制的输入，攻击者可以利用此漏洞在系统上执行任意代码。

9.CVEID： CVE-2020-11113 CSS评分：9.8 高危

由于org.apache.openjpa.ee.WASRegistryManagedRuntime（aka openjpa）中不安全的反序列化，FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码。通过发送特制的输入，攻击者可以利用此漏洞在系统上执行任意代码。

受影响产品和版本

上述漏洞影响IBM Operations Analytics Predictive Insights 1.3.6版本（仅当您在Predictive Insights中安装了REST中介服务时）

解决方案

IBM公司发布了IBM Operations Analytics Predictive Insights 1.3.6临时补丁3（仅当您在Predictive Insights中安装了REST中介服务时）

查看更多漏洞信息以及升级请访问官网：

https://www.ibm.com/blogs/psirt/

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!