云安全日报200918:IBM云部署服务器应用发现信息泄露漏洞,需要尽快升级

来源:TechWeb.com.cn2020-09-18 15:54:04

IBM WebSphere Application Server(WAS)是美国IBM公司的一款集优化、创建并连接内部部署和云端部署的应用产品。该产品是JavaEE和Web服务应用程序的平台,也是IBM WebSphere软件平台的基础。不过根据9月17日IBM安全公告显示,该产品爆出重要漏洞,需要尽快升级。以下是漏洞详情:

漏洞详情

CVEID:CVE-2020-4643   CVSS评分:7.5 高

来源:

https://www.ibm.com/support/pages/node/6334311

WebSphere Application Server容易受到信息泄露漏洞的攻击。在处理XML数据时,IBM WebSphere Application Server容易受到XML外部实体注入(XXE)攻击。

外部实体注入(XXE)攻击

XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用。XML外部实体注入(XXE),通过DTD外部实体声明,输入恶意代码,进行攻击。攻击者利用此漏洞可以读取任意文件,执行系统命令,攻击内网网站等。

受影响产品和版本

此漏洞影响WebSphere Application Server 9.0 , 8.5 , 8.0 , 7.0 版本

解决方案

对于传统的WebSphere Application Server和WebSphere Application Server Hypervisor Edition:

对于V9.0.0.0到9.0.5.5:

根据临时修订要求升级到最低修订包级别,然后应用临时修订PH27509或应用修订包9.0.5.6或更高版本(目标可用性4Q2020)。

对于V8.5.0.0到8.5.5.17:

根据临时修订要求升级到最低修订包级别,然后应用临时修订 PH27509-

或应用修订包8.5.5.19或更高版本(目标可用性1Q2021)。

对于V8.0.0.0到8.0.0.15:

升级到8.0.0.15,然后应用Interim Fix PH27509

对于V7.0.0.0到7.0.0.45:

升级到7.0.0.45,然后应用临时修订PH27509

这里需要注意的是:WebSphere Application Server V7.0和V8.0不再完全受支持。IBM建议升级到该产品的受支持的修复版本/发行版/平台。

 

查看更多漏洞信息 以及升级请访问官网:

https://www.ibm.com/blogs/psirt/

责任编辑:JayJay

标签: IBM 云安全 漏洞 云部署

相关文章

要闻

原创

最新

取消