云安全日报201215：IBM混合多云管理方案发现执行任意命令高危漏洞，需要尽快升级

IBM Cloud™ Paks是IBM公司企业级的容器化软件多云解决方案，帮助客户更迅速、更安全地将核心业务应用程序迁移到任何云端。每个IBM Cloud Pak™ 在通用集成层之上均包含用于开发和管理的容器化IBM中间件和通用软件服务，旨在将开发时间缩短高达84%，将运营费用减少高达75%。

12月14日晚,IBM发布了安全更新,修复了IBM Cloud™ Paks混合多云管理平台中发现的一些重要漏洞。以下是漏洞详情：

漏洞详情

1.CVE-2020-8178 CVSS评分：9.8 高危

来源：https://www.ibm.com/support/pages/node/6356103

Node.js jison中的一个安全漏洞会影响IBM Cloud Pak for Multicloud Management托管服务。由于输入验证不足，Node.js jison可能允许远程攻击者通过发送特制请求在系统上执行任意命令。

2.第三方条目：186585 CVSS评分：9.8 高危

来源：https://www.ibm.com/support/pages/node/6356101

Node.js serialize-javascript中的一个安全漏洞会影响IBM Cloud Pak for Multicloud Management托管服务。

3.CVE-2020-16845 CVSS评分：7.5 高

来源：https://www.ibm.com/support/pages/node/6350221

Go语言容易受到拒绝服务的影响，这是由于ReadUvarint和ReadVarint在编码/二进制中的无限读取循环引起的。通过发送特制的输入，远程攻击者可以利用此漏洞导致拒绝服务状况。

4.CVE-2020-15168 CVSS评分：7.5 高

来源：https://www.ibm.com/support/pages/node/6350659

Node.js node-fetch模块中的安全漏洞会影响IBM Cloud Pak for Multicloud Management托管服务。Node.js node-fetch模块容易受到拒绝服务的攻击，这是由于重定向后无法遵守size选项所致。通过使用特制文件，远程攻击者可以利用此漏洞消耗系统上过多的资源。

受影响产品和版本

IBM Cloud Pak for Multicloud Management 2.0

解决方案

按照https://www.ibm.com/support/knowledgecenter/zh-CN/SSFC4F_2.1.0/install/upgrade.html中的指示信息，升级到IBM Cloud Pak for Multicloud Management 2.1版本。

查看更多漏洞信息 以及升级请访问官网：

https://www.ibm.com/blogs/psirt/

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!