云安全日報(bào)200821：IBM DB2和Cloud CLI發(fā)現(xiàn)高危漏洞，可竊取關(guān)鍵數(shù)據(jù)，需要盡快升級(jí)

時(shí)間：2020-09-14 09:30:01

關(guān)鍵字：云安全 IBM 漏洞升級(jí)

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀]根據(jù)IBM 8月20日安全公告顯示，IBM產(chǎn)品爆出高危漏洞，需要盡快升級(jí)。以下是漏洞詳情：一.IBM DB2 IBM DB2 是美國IBM公司開發(fā)的一套關(guān)系型數(shù)據(jù)庫管理系統(tǒng)，它主要的運(yùn)行環(huán)境為UNI

根據(jù)IBM 8月20日安全公告顯示，IBM產(chǎn)品爆出高危漏洞，需要盡快升級(jí)。以下是漏洞詳情：

一.IBM DB2

IBM DB2 是美國IBM公司開發(fā)的一套關(guān)系型數(shù)據(jù)庫管理系統(tǒng)，它主要的運(yùn)行環(huán)境為UNIX（包括IBM自家的AIX）、Linux、IBM i（舊稱OS/400）、z/OS，以及Windows服務(wù)器版本。適用于Linux，UNIX和Windows的IBM DB2（包括DB2 Connect服務(wù)器）可能允許本地攻擊者由于共享內(nèi)存使用不當(dāng)而對(duì)系統(tǒng)執(zhí)行未經(jīng)授權(quán)的操作。通過發(fā)送特制請求，攻擊者可以利用此漏洞來獲取敏感信息或?qū)е戮芙^服務(wù)。

漏洞詳情

來源：

https://www.ibm.com/support/pages/node/6242356

CVEID： CVE-2020-4414

CSS評(píng)分：5.1 中級(jí)

攻擊者可以利用該漏洞對(duì)共享內(nèi)存進(jìn)行讀/寫訪問，并在目標(biāo)系統(tǒng)上執(zhí)行未經(jīng)授權(quán)的操作。之所以存在此漏洞是因?yàn)殚_發(fā)人員忽略了在DB2 跟蹤工具使用的共享內(nèi)存周圍添加顯式內(nèi)存保護(hù)。這樣，任何本地用戶都可以對(duì)該存儲(chǔ)區(qū)進(jìn)行讀寫訪問。反過來，這允許訪問關(guān)鍵敏感數(shù)據(jù)以及更改跟蹤子系統(tǒng)功能的能力，從而導(dǎo)致數(shù)據(jù)庫中的服務(wù)條件被拒絕。此漏洞可能導(dǎo)致其他問題-例如，與DB2 數(shù)據(jù)庫在同一臺(tái)計(jì)算機(jī)上運(yùn)行的低特權(quán)進(jìn)程。攻擊者還可能更改DB2 跟蹤并捕獲敏感數(shù)據(jù)，這些數(shù)據(jù)稍后可用于后續(xù)攻擊。

受影響的產(chǎn)品和版本

Windows平臺(tái)上的IBM Db2 V9.7，V10.1，V10.5，V11.1和V11.5版本的所有修訂包級(jí)別均受到影響。

解決方案

運(yùn)行受影響程序的任何易受攻擊的修訂包級(jí)別的客戶都可以從IBM官方 Fix Central下載包含此問題的臨時(shí)修訂的特殊版本。根據(jù)每個(gè)受影響的發(fā)行版的最新修訂包級(jí)別，可以提供這些特殊版本：V9.7 FP11，V10.1 FP6，V10.5 FP11、11.1 FP5和V11.5 GA。它們可以應(yīng)用于適當(dāng)版本的任何受影響的修訂包級(jí)別，以修復(fù)此漏洞。

二.IBM Cloud CLI

IBM Cloud CLI 是IBM Cloud的一個(gè)命令行工具，可用于創(chuàng)建、開發(fā)和部署 Web、移動(dòng)和微服務(wù)應(yīng)用程序。

在IBM 部署服務(wù)中發(fā)現(xiàn)了Golang(一般簡稱Go,Go 語言被設(shè)計(jì)成一門應(yīng)用于搭載 Web 服務(wù)器，存儲(chǔ)集群或類似用途的巨型中央服務(wù)器的系統(tǒng)編程語言)漏洞，在某些情況下，它可能允許攻擊者繞過安全限制.

漏洞詳情

來源：

https://www.ibm.com/support/pages/node/6262985

1.CVEID： CVE-2020-15586

CSS評(píng)分：7.5 高危

由于某些net / http服務(wù)器中的數(shù)據(jù)爭用，Golang Go容易受到拒絕服務(wù)的攻擊。通過發(fā)送特制的HTTP請求，遠(yuǎn)程攻擊者可以利用此漏洞導(dǎo)致拒絕服務(wù)狀況。

2.CVEID： CVE-2020-14039

CSS評(píng)分：5.3 中級(jí)

Go可能會(huì)讓遠(yuǎn)程攻擊者繞過安全性限制，這是由X.509證書驗(yàn)證期間對(duì)VerifyOptions.KeyUsages EKU要求進(jìn)行的不正確驗(yàn)證所引起的。攻擊者可以利用此漏洞來訪問系統(tǒng)。

受影響的產(chǎn)品和版本

IBM Cloud CLI 1.1.0或更早版本

解決方案