云安全日?qǐng)?bào)200806：IBM廠商多款產(chǎn)品發(fā)現(xiàn)漏洞，需要盡快升級(jí)

IBM于8月5日晚，發(fā)布了一些列安全公告。根據(jù)公告顯示，IBM多款產(chǎn)品爆出漏洞，建議盡快升級(jí)。以下是漏洞詳情：

一.商業(yè)消息中間件IBM MQ

IBM MQ（IBM Message Queue）是IBM的一款商業(yè)消息中間產(chǎn)品，適用于分布式計(jì)算環(huán)境或異構(gòu)系統(tǒng)之中。消息隊(duì)列技術(shù)是分布式應(yīng)用間交換信息的一種技術(shù)。消息隊(duì)列可駐留在內(nèi)存或磁盤上,隊(duì)列存儲(chǔ)消息直到它們被應(yīng)用程序讀走。通過(guò)消息隊(duì)列，應(yīng)用程序可獨(dú)立地執(zhí)行--它們不需要知道彼此的位置、或在繼續(xù)執(zhí)行前不需要等待接收程序接收此消息。不過(guò)根據(jù)IBM最近安全公告顯示，IBM MQ存在漏洞。

漏洞詳情

1.CVEID：CVE-2020-4375 ，CVE-2020-4376

來(lái)源：https : //www.ibm.com/support/pages/node/6255988

IBM MQ可能允許攻擊者由于創(chuàng)建動(dòng)態(tài)隊(duì)列的錯(cuò)誤導(dǎo)致的內(nèi)存泄漏而導(dǎo)致拒絕服務(wù)，最終可導(dǎo)致目標(biāo)服務(wù)器停止服務(wù)，即干掉服務(wù)器。

受影響的產(chǎn)品及版本：

IBM MQ 9.1 LTS

IBM MQ 9.0 LTS

IBM MQ 8.0

IBM MQ 9.1 CD

IBM WebSphere MQ 7.5

IBM WebSphere MQ 7.1

解決方案：

對(duì)于IBM WebSphere MQ 7.1：

請(qǐng)與IBM支持人員聯(lián)系并請(qǐng)求對(duì)APAR IT31336的修復(fù)

對(duì)于IBM WebSphere MQ 7.5：

請(qǐng)與IBM支持人員聯(lián)系并請(qǐng)求對(duì)APAR IT31336的修復(fù)

對(duì)于IBM MQ 8.0：

應(yīng)用修訂包8.0.0.15修復(fù)

對(duì)于IBM MQ 9.0 LTS：

應(yīng)用修訂包9.0.0.10修復(fù)

對(duì)于IBM MQ 9.1 LTS：

應(yīng)用修訂包9.1.0.5修復(fù)

對(duì)于IBM MQ 9.1 CD:

升級(jí)到IBM MQ 9.2修復(fù)

2.CVEID：CVE-2020-4329

來(lái)源：https : //www.ibm.com/support/pages/node/6255994

在IBM MQ隨附的IBM WebSphere Liberty版本中發(fā)現(xiàn)了一個(gè)漏洞。IBM WebSphere Application Server 7.0、8.0、8.5、9.0和Liberty 17.0.0.3至20.0.0.4可能允許遠(yuǎn)程的，經(jīng)過(guò)身份驗(yàn)證的攻擊者獲取由不正確的參數(shù)檢查引起的敏感信息。

攻擊者可以利用該漏洞進(jìn)行欺騙攻擊。在網(wǎng)絡(luò)中，如果使用偽裝的身份和地址與被攻擊的主機(jī)進(jìn)行通信，向其發(fā)送假報(bào)文，往往會(huì)導(dǎo)致主機(jī)出現(xiàn)錯(cuò)誤操作，甚至對(duì)攻擊主機(jī)做出信任判斷。這時(shí)，攻擊者可冒充被信任的主機(jī)進(jìn)入系統(tǒng)，并有機(jī)會(huì)預(yù)留后門供以后使用。

受影響的產(chǎn)品及版本：

IBM MQ 9.1 LTS

IBM MQ 9.1 CD

解決方案：

對(duì)于IBM MQ 9.1 LTS：

應(yīng)用修訂包9.1.0.6修復(fù)

對(duì)于IBM MQ 9.1 CD：

升級(jí)到IBM MQ 9.2修復(fù)

3.CVEID：CVE-2020-4465

來(lái)源：https : //www.ibm.com/support/pages/node/6255996

用于HPE NonStop（HP服務(wù)器操作系統(tǒng)） 8.0、9.1 CD和9.1 LTS的IBM MQ，IBM MQ Appliance和IBM MQ由于通道處理代碼中的錯(cuò)誤而容易受到緩沖區(qū)溢出漏洞的影響。遠(yuǎn)程攻擊者可能使用較舊的客戶端溢出緩沖區(qū)，并導(dǎo)致拒絕服務(wù)。最終可導(dǎo)致目標(biāo)服務(wù)器停止服務(wù)，即干掉服務(wù)器。

受影響的產(chǎn)品及版本：

IBM MQ 9.1 LTS

IBM MQ 9.0 LTS

IBM MQ 8.0

IBM MQ 9.1 CD

IBM WebSphere MQ 7.5

IBM WebSphere MQ 7.1

解決方案：

對(duì)于IBM WebSphere MQ 7.1：

請(qǐng)與IBM支持人員聯(lián)系并請(qǐng)求對(duì)APAR IT32141的修復(fù)

對(duì)于IBM WebSphere MQ 7.5：

請(qǐng)與IBM支持人員聯(lián)系并請(qǐng)求對(duì)APAR IT32141的修復(fù)

對(duì)于IBM MQ 8：

應(yīng)用修訂包8.0.0.15修復(fù)

對(duì)于IBM MQ 9.0 LTS：

應(yīng)用修訂包9.0.0.10修復(fù)

對(duì)于IBM MQ 9.1 LTS：

應(yīng)用修訂包9.1.0.6修復(fù)

對(duì)于IBM MQ 9.1 CD：

升級(jí)到IBM MQ 9.1.5修復(fù)

二.應(yīng)用服務(wù)器WAS

IBM WebSphere Application Server（WAS）是美國(guó)IBM公司的一款應(yīng)用服務(wù)器產(chǎn)品。該產(chǎn)品是JavaEE和Web服務(wù)應(yīng)用程序的平臺(tái)，也是IBMWebSphere軟件平臺(tái)的基礎(chǔ)。IBM WebSphere Application Server附帶的IBM?SDK Java?Technology Edition中存在多個(gè)漏洞。

漏洞詳情：

來(lái)源：https://www.ibm.com/support/pages/node/6256732

1.CVEID： CVE-2020-2601

Oracle Java SE中與Java SE相關(guān)的未指定漏洞，Java SE Embedded Security組件可能允許未經(jīng)身份驗(yàn)證的攻擊者獲取敏感信息，從而使用未知攻擊媒介對(duì)機(jī)密性造成高度影響。

2.CVEID： CVE-2020-14621

Java SE中與JAXP組件相關(guān)的未指定漏洞可能使未經(jīng)身份驗(yàn)證的攻擊者不會(huì)造成機(jī)密性影響，完整性影響低以及可用性影響。

3.CVEID： CVE-2020-14581

一種與2D組件相關(guān)的Oracle Java SE和Java SE Embedded中未指定的漏洞可能允許未經(jīng)身份驗(yàn)證的攻擊者使用未知攻擊媒介來(lái)竊取敏感信息，從而導(dǎo)致較低的機(jī)密性影響。

4.CVEID： CVE-2020-14579

一種Java SE中與Libraries組件相關(guān)的未指定漏洞可能允許未經(jīng)身份驗(yàn)證的攻擊者使用未知攻擊向量來(lái)拒絕服務(wù)，從而導(dǎo)致可用性影響較低。

5.CVEID： CVE-2020-14578

Java SE中與Libraries組件相關(guān)的未指定漏洞可能允許未經(jīng)身份驗(yàn)證的攻擊者拒絕服務(wù)，從而導(dǎo)致使用未知攻擊媒介的可用性降低。

6.CVEID： CVE-2020-14577

一種與JSSE組件相關(guān)的Java SE中未指定的漏洞可能允許未經(jīng)身份驗(yàn)證的攻擊者使用未知攻擊向量來(lái)獲取敏感信息，從而導(dǎo)致較低的機(jī)密性影響。

7.CVEID: CVE-2020-2590

一種與Java SE Security組件相關(guān)的Java SE中未指定的漏洞可能允許未經(jīng)身份驗(yàn)證的攻擊者不會(huì)造成機(jī)密性影響，低完整性影響以及可用性影響。

受影響的產(chǎn)品及版本：

WebSphere Application Server Liberty 持續(xù)交互版本

WebSphere Application Server 9.0

WebSphere Application Server 8.5

解決方案：

對(duì)于WebSphere Application Server Liberty：

升級(jí)到Java技術(shù)版本8 SR6 FP15的IBM SDK，請(qǐng)參閱IBM Java SDK for Liberty

對(duì)于傳統(tǒng)的版本9 WebSphere Application Server：

使用IBM Knowledge Center中的指示信息更新到IBM SDK Java Technology Edition版本8 Service Refresh 6 FP15 ，然后在分布式環(huán)境中安裝和更新IBM SDK Java Technology Edition，然后使用IBM Installation Manager來(lái)訪問(wèn)在線產(chǎn)品存儲(chǔ)庫(kù)以進(jìn)行安裝SDK或使用IBM Installation Manager并從Fixcentral訪問(wèn)軟件包。

對(duì)于V8.5.0.0至8.5.5.17的WebSphere Application Server傳統(tǒng)版和WebSphere Application Server Hypervisor版：

對(duì)于您使用的IBM SDK（Java技術(shù)版本），按照下面的臨時(shí)修訂中所述升級(jí)到WebSphere Application Server的最低修訂包級(jí)別，然后應(yīng)用臨時(shí)修訂：

對(duì)于IBM SDK Java Technology Edition版本7

應(yīng)用臨時(shí)修訂PH27845：將升級(jí)到IBM SDK，Java Technology Edition，版本7 Service Refresh 10 Fix Pack 70。

對(duì)于IBM SDK Java Technology Edition版本7R1

應(yīng)用臨時(shí)修訂PH27844：將升級(jí)到IBM SDK，Java Technology Edition，版本7R1 Service Refresh 4 Fix Pack 70。

對(duì)于IBM SDK Java Technology Edition版本8 SR6 FP15

應(yīng)用臨時(shí)修訂PH27842：將升級(jí)到IBM SDK，Java Technology Edition，版本8 Service Refresh 6 FP15。

對(duì)于已經(jīng)升級(jí)為使用與WebSphere Application Server Fix Pack 8.5.5.11或更高版本捆綁在一起的默認(rèn)IBM SDK版本8的環(huán)境：應(yīng)用臨時(shí)修訂PH27843：將升級(jí)到IBM SDK，Java Technology Edition，版本8 Service Refresh 6 FP15 。或者應(yīng)用WebSphere Application Server Fix Pack 18（8.5.5.18）或更高版本附帶的IBM Java SDK（目標(biāo)可用性為2020年第三季度）。

對(duì)于WebSphere Application Server的Application Client：

請(qǐng)遵循上面針對(duì)WebSphere Application Server的指示信息，以下載您的Application Client版本所需的臨時(shí)修訂。

三. 服務(wù)器操作系統(tǒng) IBM i

IBM服務(wù)器系列是服務(wù)器的品牌系列，IBM eServer家族目前總體來(lái)說(shuō)是擁有4條產(chǎn)品線：i系列（iSeries）、p系列（pSeries）、x系列（xSeries）和z系列（zSeries）。

i系列服務(wù)器目前主要包括i800、i810、i825、i870和i890五個(gè)子系列，通常都比較高檔，最高的目前也可支持32路處理器系統(tǒng)。 IBM i使用的IBM?SDK Java?Technology Edition和IBM?Runtime Environment Java?中存在漏洞。

漏洞詳情：

1.CVEID： CVE-2019-2949

來(lái)源：https://www.ibm.com/support/pages/node/6256634

Java SE中與Kerberos組件相關(guān)的未指定漏洞可能允許未經(jīng)身份驗(yàn)證的攻擊者獲取敏感信息，從而導(dǎo)致使用未知攻擊媒介的機(jī)密性受到高度影響。

2.CVEID： CVE-2020-2654

來(lái)源：https://www.ibm.com/support/pages/node/6256052

Java SE中與Java SE Libraries組件相關(guān)的未指定漏洞可能允許未經(jīng)身份驗(yàn)證的攻擊者拒絕服務(wù)，從而導(dǎo)致使用未知攻擊媒介的可用性降低。

受影響的產(chǎn)品及版本：

IBM i 7.4

IBM i 7.3

IBM i 7.2

IBM i 7.1

解決方案：

1.可以通過(guò)將PTF應(yīng)用于IBM i操作系統(tǒng)來(lái)解決此問(wèn)題。

支持并修復(fù)了IBM i的7.4、7.3、7.2和7.1版本。

2.IBM建議所有運(yùn)行不受支持版本的受影響產(chǎn)品的用戶升級(jí)到受支持產(chǎn)品的修復(fù)版本。

如果使用此產(chǎn)品隨附的IBM Java Runtime運(yùn)行自己的Java代碼，則應(yīng)評(píng)估代碼以確定其他Java漏洞是否適用于您的代碼。

查看更多漏洞信息 以及升級(jí)請(qǐng)?jiān)L問(wèn)官網(wǎng)：

https://www.ibm.com/blogs/psirt/