云安全日报201224：IBM MQ消息中间件发现敏感信息泄露漏洞,需要尽快升级

IBM MQ（IBM WebSphere MQ）是美国IBM公司的一款消息传递中间件产品,可以快速地在应用、系统和服务之间传递消息数据,主要为面向服务的体系结构（SOA）提供可靠的、经过验证的消息传递主干网。

12月23日,IBM发布了安全更新,修复了IBM MQ消息中间件中发现的重要漏洞。以下是漏洞详情：

漏洞详情

来源：https://www.ibm.com/support/pages/node/6393332

CVE-2019-17638 CVSS评分：9.4 高危

该漏洞主要是与IBM MQ Explorer捆绑在一起的Eclipse Jetty(Jetty是使用Java语言编写的一个开源的servlet容器,它为基于Java的web容器,例如JSP和servlet提供运行环境.从某种程度上,可以把 Jetty 理解为一个嵌入式的Web服务器.)导致的。Jenkins中捆绑的Eclipse Jetty可能允许远程攻击者获取敏感信息，这是由于HTTP响应缓冲区损坏发送到不同的客户端引起的。通过发送特制的HTTP请求，攻击者可以利用此漏洞获取敏感信息，然后使用此信息对受影响的系统发起进一步的攻击。

受影响产品和版本

IBM MQ 9.2 CD

IBM MQ 9.2 LTS

解决方案

对于IBM MQ 9.2 LTS:

应用9.2.0.1修订包可修复

对于IBM MQ 9.2 CD:

升级至IBM MQ 9.2.1可修复

查看更多漏洞信息 以及升级请访问官网：

https://www.ibm.com/blogs/psirt/

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!