云安全日报201127：IBM自动化多云管理平台发现任意代码执行漏洞，需要尽快升级

IBM Cloud Automation Manager是美国IBM公司的一套多云自助服务管理平台。该平台支持在多个云中部署云基础架构，能够通过端到端自动化有效地管理和提供服务，同时使开发人员能够构建符合企业策略的应用程序。

11月26日,IBM发布了紧急安全更新,修复了IBM Cloud Automation Manager多云自助服务管理平台中发现的一些重要漏洞。以下是漏洞详情：

漏洞详情

1.CVE-2020-7720 CVSS评分：9.8 高危

来源：https://www.ibm.com/support/pages/node/6373024

Node.js node-forge模块中的一个安全漏洞会影响IBM Cloud Automation Manager。由于util.setPath函数中的原型污染缺陷，Node.js node-forge模块可能允许远程攻击者利用此漏洞，通过发送特制请求在系统上执行任意代码。

2.CVE-2020-8178 CVSS评分：9.8 高危

来源：https://www.ibm.com/support/pages/node/6373022

Node.js Jison模块中的一个安全漏洞会影响IBM Cloud Automation Manager。由于输入验证不足，Node.js jison可能允许远程攻击者利用此漏洞，通过发送特制请求在系统上执行任意命令。

3.CVE-2020-8244 CVSS评分：8.2 高

来源：https://www.ibm.com/support/pages/node/6373020

Node.js bl模块中的一个安全漏洞会影响IBM Cloud Automation Manager。Node.js bl模块可能允许远程攻击者获取敏感信息，这是由于消费函数中的缓冲区超读缺陷所致。通过发送特制的参数，攻击者可以利用此漏洞来获取敏感信息，或导致拒绝服务状况。

4.CVE-2020-7919 CVSS评分：7.5 高

来源：https://www.ibm.com/support/pages/node/6373012

GO中的一个安全漏洞会影响IBM Cloud Pak for Multicloud Management Managed Service。Go容易受到拒绝服务的攻击。通过发送格式不正确的X.509证书，远程攻击者可以利用此漏洞导致系统崩溃。

5.CVE-2020-24553 CVSS评分：7.2 高

来源：https://www.ibm.com/support/pages/node/6373028

GO中的一个安全漏洞会影响IBM Cloud Automation Manager。Golang Go容易受到跨站点脚本的攻击，这是由于CGI / FCGI处理程序对用户提供的输入进行了不正确的验证所致。远程攻击者可以利用此漏洞将恶意脚本注入网页，一旦查看该网页，该网页将在宿主网站的安全上下文内的受害者的Web浏览器中执行。攻击者可能利用此漏洞窃取受害者基于Cookie的身份验证凭据。

6.CVE-2020-7676 CVSS评分：4.4 中

来源：https://www.ibm.com/support/pages/node/6373010

angular.js中的一个安全漏洞会影响IBM Cloud Automation Manager。由于对用户提供的输入进行了不正确的验证，angular.js容易受到跨站点脚本的攻击。远程攻击者可以利用此漏洞将恶意脚本注入网页，一旦查看该网页，该网页将在宿主网站的安全上下文内的受害者的Web浏览器中执行。攻击者可能利用此漏洞窃取受害者基于Cookie的身份验证凭据。

受影响产品和版本

上述漏洞影响IBM Cloud Automation Manager 4.2.0.1版本

解决方案

下载IBM Cloud Automation Manager Version 4.2.0.1 iFix 1 Offline Installation package,安装修复补丁可修复

查看更多漏洞信息 以及升级请访问官网：

https://www.ibm.com/blogs/psirt/

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!