8[db:标签]5[db:标签]晚,IBM发布了一系列安全公告。根据公告,很多IBM产品都出现了漏洞,所以建议尽快升级。下面是这些漏洞的详细情况:
一.商业消息中间件IBM MQ
IBM MQ(IBM MesSAge Queue)是IBM的一个业务消息中间产品,适用于分布式计算环境或异构系统。消息队列技术是一种在分布式应用程序之间交换信息的技术。消息队列可以驻留在内存或磁盘中,队列存储消息,直到它们被应用程序读取。有了消息队列,应用程序可以独立执行——它们不需要知道彼此的位置,也不需要等待接收方收到消息后再继续。然而,根据IBM最近的安全公告,在IBM MQ中存在漏洞。
漏洞详细信息
1。CVE标识:CVE-2020-4375,CVE-2020-4376
Source:https ://www . IBM . com/support/pAges/Node/6255988
IBM MQ可能允许攻击者由于创建动态队列时的错误而导致内存泄漏,从而导致拒绝服务。
受影响的产品和版本:
适用于IBM MQ 9.1 LTS:
对于IBM WebSphere MQ, 7.1:
请联系IBM支持人员并请求修复APAR IT32141
IBM MQ 9.1光盘
对于IBM WebSphere MQ, 7.1:
请联系IBM支持人员并请求修复APAR IT32141
解决方案:
对于IBM WebSphere MQ 7.1:
请联系IBM支持人员并请求维修APAR IT31336
对于IBM WebSphere MQ 7.5:
请联系IBM支持人员并请求维修APAR IT31336
应用修订版软件包9.0.0.10补丁
适用于IBM MQ 9.1 LTS:
应用修订版软件包9.1.0.5补丁
适用于IBM MQ 9.1 CD:
升级到IBM MQ 9.2补丁
2。CVE识别码:CVE-2020-4329
来源:https 3360//Www.ibm.com/support/pages/node/6255994
在IBM WebSphere Liberty版本中发现了一个漏洞。20.0.0.4的IBM WebSphere Application Server 7.0、8.0、8.5、9.0和Liberty 17.0.0.3可能允许经过身份验证的远程攻击者获得由不正确的参数检查导致的敏感信息。
攻击者可以利用此漏洞进行欺骗攻击。在网络中,如果使用虚假的身份和地址与被攻击主机进行通信,并向其发送虚假消息,往往会导致主机的误操作,甚至对被攻击主机做出信任判断。此时,攻击者可以假装是可信任的主机进入系统,并有机会保留一个后门供将来使用。
受影响的产品和版本:
IBM MQ 9.1 LTS:
IBM MQ 9.1光盘:
受影响的产品和版本:
适用于IBM MQ 9.1 LTS:
IBM MQ 9.1光盘
解决方案:
升级到IBM MQ 9.2补丁
3。CVE识别码:CVE-2020-4465
Source:https ://www . IBM . com/support/pages/node/6255996
在IBM WebSphere Liberty版本中发现了一个漏洞。20.0.0.4的IBM WebSphere Application Server 7.0、8.0、8.5、9.0和Liberty 17.0.0.3可能允许经过身份验证的远程攻击者获得由不正确的参数检查导致的敏感信息。
受影响的产品和版本:
IBM MQ 9.1光盘
对于IBM WebSphere MQ, 7.1:
受影响的产品和版本:
适用于IBM MQ 9.1 LTS:
对于IBM WebSphere MQ, 7.1:
请联系IBM支持人员并请求修复APAR IT32141
IBM MQ 9.1光盘
对于IBM WebSphere MQ, 7.1:
请联系IBM支持人员并请求修复APAR IT32141
解决方案:
对于IBM WebSphere MQ 7.1:
对于IBM MQ 8:
对于IBM WebSphere MQ 7.5:
对于IBM MQ 8:
对于IBM MQ 9.1光盘:
适用于IBM MQ 9.1 LTS:
应用修订版软件包9.1.0.5补丁
适用于IBM MQ 9.1 CD:
升级到IBM MQ 9.2补丁
3。CVE识别码:CVE-2020-4465
Source:https ://www . IBM . com/support/pages/node/6255996
1 . cveid:CVE-2020-2601
二.应用服务器WAS
2。CVE-2020-14621
java SE中与JAXP组件相关的未指定漏洞可能会阻止未经身份验证的攻击者影响机密性、完整性和可用性。
3 . cveid:CVE-2020-14581
Oracle Java SE和Java SE Embedded中与2D组件相关的一个未指定的漏洞可能允许未经身份验证的攻击者通过使用未知的攻击媒介来窃取敏感信息,从而降低机密性影响。
4 . cveid:CVE-2020-14579
Java SE中与库组件相关的未指定漏洞可能允许未经身份验证的攻击者使用未知的攻击向量来拒绝服务,从而导致低可用性影响。
5.cveid: CVE-2020-14578
与Java SE中的库组件相关的未指定漏洞可能允许未经身份验证的攻击者拒绝服务,从而降低未知攻击向量的可用性。
6 . cveid:CVE-2020-14577
Java SE中与JSSE组件相关的一个未指定的漏洞可能允许未经身份验证的攻击者使用未知的攻击向量来获取敏感信息,从而降低机密性影响。
7。CVE-2020-2590
Java SE中与Java SE安全组件相关的一个未指定的漏洞可能允许未经身份验证的攻击者避免机密性影响、低完整性影响和可用性影响。
受影响的产品和版本:
WebSphere Application Server Liberty Continuous Interactive Version
WebSphere Application Server 9.0
WebSphere Application Server 8.5
Solution:
对于WebSphere,应用服务器liberty:
升级到IBM SDK的Java技术版本8 SR6 FP15。传统版本9的WebSphere应用服务器请参阅IBM Java SDK for Liberty
使用IBM知识中心中的说明更新到IBM SDK Java技术版版本8 Service Refres H 6 FP15,然后在分布式环境中安装和更新IBM SDK Java技术版,然后使用IBM安装管理器访问在线产品存储库以安装SDK,或者使用IBM安装管理器从Fixconn访问软件包。
对于WebSphere application server旧版和WebSphere Application Server hypervisor版本(从V8.5.0.0到8 . 5 . 5 . 17):
对于您使用的IBM sdmk(Java技术版本),按照以下临时版本中的说明升级到WebSphere Application Server的最低版本包级别,然后应用临时版本:
对于IBM SDK Java技术版本7
应用临时版本PH27845:您将升级到IBM sdmk,Java技术版本,版本7服务刷新10修复包70。
将临时修订版PH27844应用于IBM SDK Java技术版7R1版
它将升级到IBM SDK Java技术版7R1版服务更新4修复包70。
将临时修订版PH27842应用于IBM SDK Java技术版版本8 SR6 FP15
:它将升级到IBM SDK Java技术版版本8服务更新6 FP15。
对于已升级到使用与WebSphere application server fix pack 8.5.5.11或更高版本捆绑的默认IBM sdmk版本8的环境:应用临时版本PH27843:升级到IBM sdmk,Java技术版,版本8服务刷新6 FP15。或者应用WebSphere application server fix pack 18(8.5.5.18)或更高版本附带的IBM Java SDK(目标可用性是2020年第三季度)。
对于WebSphere Application Server的应用程序客户端:
请按照上面关于WebSphere Application Server的说明下载您的应用程序客户端版本所需的临时版本。
三. 服务器操作系统 IBM i
IBM服务器系列是服务器的品牌系列。目前,IBM电子服务系列有四条产品线:iSeries、pSeries、xSeries和zSeries。目前
i系列服务器主要包括i800、i810、i825、i870和i890五个子系列,通常都是高档的,目前最高的一个可以支持32通道处理器系统。IBM公司使用的IBM软件开发工具包Java技术版和IBM运行时环境Java中存在漏洞。CVE标识:CVE-2019-2949
来源:与https://www.ibm.com/support/pages/node/6256634的Kerberos组件相关的未指明的漏洞
Java SE可能允许未经身份验证的攻击者获取敏感信息,导致使用未知攻击媒介的保密性受到严重影响。
2.cveid: CVE-2020-2654
资料来源:https://www.ibm.com/support/pages/node/6256052
与Java se中的Java SE库组件相关的未指定漏洞可能允许未经身份验证的攻击者拒绝服务,从而降低未知攻击向量的可用性。
受影响的产品和版本:
IBM I 7.4
IBM I7.3
IBM I7.2
IBM I7.1
解决方案:
1。这个问题可以通过将PTF应用于IBM I操作系统来解决。
支持并修复IBM i版本7.4、7.3、7.2和7.1。
2。IBM建议所有运行受影响产品的不支持版本的用户升级到受支持产品的修复版本。
如果您使用本产品附带的IBM Java运行时运行自己的Java代码,您应该评估代码以确定其他Java漏洞是否适用于您的代码。
https://www.ibm.com/blOGs/psirt/
猜你喜欢
- 2022-06-16 推荐证书—云计算技术与应用(云计算工程师)
- 2022-06-16 阿里云的技术水平,已领先云计算全行业3年以上
- 2022-06-16 云计算与物联网的关键技术
- 2022-06-16 《中国云计算产业发展白皮书》发布 人工智能技术促产业升级改造
- 2022-06-16 小ME知识讲堂:云计算技术的现状、特点与问题
- 2022-06-16 育碧公布全新云计算技术 称其将创造新游戏类型
- 2022-06-16 云计算和大数据啥关系,有啥区别,哪个发展前景好?
- 2022-06-16 云计算的关键特性:资源弹性扩展、动态伸缩,这个能力是必选项!
- 2022-06-16 云计算核心技术架构论坛(一):构建高可用、高扩展、易运维的云架构
- 2022-06-16 Cloud“规划了50个新区域”:云计算重新崛起
- 最近发表
- 随机tag