云安全日报200901:IBM主动故障管理系统发现高危漏洞,需要尽快升级
IBM Operationas Analytics Predictive Insights是美国IBM公司的一套主动故障管理系统。该系统能够监测物理和逻辑基础设备的性能,并在发生故障时发出警报。 不过根据8月31日IBM安全公告显示,该主动故障管理系统爆出高危漏洞,需要尽快升级,以下是漏洞详情: 漏洞详情 来源: https://www.ibm.com/support/pages/node/6324679 IBM Operations Analytics Predictive Insights使用Faster-XML Jackson-databind(FasterXMLjackson-databind是一个简单基于Java应用库,Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象)(公开的漏洞)。不过值得注意的是,在IBM Operations Analytics Predictive Insights中使用Jackson-databind仅限于REST(Representational State Transfer,是一种针对网络应用的设计和开发方式,可以降低开发的复杂性,提高系统的可伸缩性)中介实用程序。如果您没有安装此服务,则不受此公告的影响。 1.CVEID: CVE-2020-10969 CSS评分:9.8 高危 FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码,这是由javax.swing.JEditorPane中不安全的反序列化引起的。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。 2.CVEID: CVE-2020-11619 CSS评分:9.8 高危 FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码,这是由org.springframework.aop.config.MethodLocatingFactoryBean(又称为spring-aop)中不安全的反序列化引起的。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。 3.CVEID: CVE-2020-11111 CSS评分:9.8 高危 由于org.apache.activemq。*(又名activemq-jms,activemq-core,activemq-pool和activemq-pool-jms)中的不安全反序列化,FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码)。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。 4.CVEID: CVE-2020-11620 CSS评分:9.8 高危 由于org.apache.commons.jelly.impl.Embedded(又名commons-jelly)中的不安全反序列化,FasterXML Jackson-databind可能允许远程攻击者在系统上执行任意代码。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。 5.CVEID: CVE-2020-10672 CSS评分:9.8 高危 由于org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory(aka aries.transaction.jms)中的不安全反序列化,FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。 6.CVEID: CVE-2020-11112 CSS评分:9.8 高危 由于org.apache.commons.proxy.provider.remoting.RmiProvider(aka apache / commons-proxy)中不安全的反序列化,FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。 7.CVEID: CVE-2020-10673 CSS评分:9.8 高危 由于com.caucho.config.types.ResourceRef(aka caucho-quercus)中的不安全反序列化,FasterXML Jackson-databind可能允许远程攻击者在系统上执行任意代码。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。 8.CVEID: CVE-2020-10968 CSS评分:9.8 高危 由于org.aoju.bus.proxy.provider.remoting.RmiProvider(aka bus-proxy)中不安全的反序列化,FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。 9.CVEID: CVE-2020-11113 CSS评分:9.8 高危 由于org.apache.openjpa.ee.WASRegistryManagedRuntime(aka openjpa)中不安全的反序列化,FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。 受影响产品和版本 上述漏洞影响IBM Operations Analytics Predictive Insights 1.3.6版本(仅当您在Predictive Insights中安装了REST中介服务时) 解决方案 IBM公司发布了IBM Operations Analytics Predictive Insights 1.3.6临时补丁3(仅当您在Predictive Insights中安装了REST中介服务时)
查看更多漏洞信息 以及升级请访问官网: https://www.ibm.com/blogs/psirt/ (编辑:应用网_阳江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |