云安全日報200821:IBM DB2和Cloud CLI發(fā)現(xiàn)高危漏洞,可竊取關鍵數(shù)據(jù),需要盡快升級
根據(jù)IBM 8月20日安全公告顯示,IBM產(chǎn)品爆出高危漏洞,需要盡快升級。以下是漏洞詳情:
一.IBM DB2
IBM DB2 是美國IBM公司開發(fā)的一套關系型數(shù)據(jù)庫管理系統(tǒng),它主要的運行環(huán)境為UNIX(包括IBM自家的AIX)、Linux、IBM i(舊稱OS/400)、z/OS,以及Windows服務器版本。適用于Linux,UNIX和Windows的IBM DB2(包括DB2 Connect服務器)可能允許本地攻擊者由于共享內存使用不當而對系統(tǒng)執(zhí)行未經(jīng)授權的操作。通過發(fā)送特制請求,攻擊者可以利用此漏洞來獲取敏感信息或導致拒絕服務。
漏洞詳情
來源:
https://www.ibm.com/support/pages/node/6242356
CVEID: CVE-2020-4414
CSS評分:5.1 中級
攻擊者可以利用該漏洞對共享內存進行讀/寫訪問,并在目標系統(tǒng)上執(zhí)行未經(jīng)授權的操作。 之所以存在此漏洞是因為開發(fā)人員忽略了在DB2 跟蹤工具使用的共享內存周圍添加顯式內存保護。這樣,任何本地用戶都可以對該存儲區(qū)進行讀寫訪問。反過來,這允許訪問關鍵敏感數(shù)據(jù)以及更改跟蹤子系統(tǒng)功能的能力,從而導致數(shù)據(jù)庫中的服務條件被拒絕。 此漏洞可能導致其他問題-例如,與DB2 數(shù)據(jù)庫在同一臺計算機上運行的低特權進程。攻擊者還可能更改DB2 跟蹤并捕獲敏感數(shù)據(jù),這些數(shù)據(jù)稍后可用于后續(xù)攻擊。
受影響的產(chǎn)品和版本
Windows平臺上的IBM Db2 V9.7,V10.1,V10.5,V11.1和V11.5版本的所有修訂包級別均受到影響。
解決方案
運行受影響程序的任何易受攻擊的修訂包級別的客戶都可以從IBM官方 Fix Central下載包含此問題的臨時修訂的特殊版本。根據(jù)每個受影響的發(fā)行版的最新修訂包級別,可以提供這些特殊版本:V9.7 FP11,V10.1 FP6,V10.5 FP11、11.1 FP5和V11.5 GA。它們可以應用于適當版本的任何受影響的修訂包級別,以修復此漏洞。
二.IBM Cloud CLI
IBM Cloud CLI 是IBM Cloud的一個命令行工具,可用于創(chuàng)建、開發(fā)和部署 Web、移動和微服務應用程序。
在IBM 部署服務中發(fā)現(xiàn)了Golang(一般簡稱Go,Go 語言被設計成一門應用于搭載 Web 服務器,存儲集群或類似用途的巨型中央服務器的系統(tǒng)編程語言)漏洞,在某些情況下,它可能允許攻擊者繞過安全限制.
漏洞詳情
來源:
https://www.ibm.com/support/pages/node/6262985
1.CVEID: CVE-2020-15586
CSS評分:7.5 高危
由于某些net / http服務器中的數(shù)據(jù)爭用,Golang Go容易受到拒絕服務的攻擊。通過發(fā)送特制的HTTP請求,遠程攻擊者可以利用此漏洞導致拒絕服務狀況。
2.CVEID: CVE-2020-14039
CSS評分:5.3 中級
Go可能會讓遠程攻擊者繞過安全性限制,這是由X.509證書驗證期間對VerifyOptions.KeyUsages EKU要求進行的不正確驗證所引起的。攻擊者可以利用此漏洞來訪問系統(tǒng)。
受影響的產(chǎn)品和版本
IBM Cloud CLI 1.1.0或更早版本
解決方案
IBM Cloud CLI升級到1.2.0或更高版本可修復
查看更多漏洞信息 以及升級請訪問官網(wǎng):
https://www.ibm.com/blogs/psirt/