云安全日报200930:IBM云管理解决方案发现任意执行代码漏洞,需要尽快升级
发布时间:2024-10-16 点击:61
ibm cloud orchestrator(以前是ibm smartcloud orchestrator)是ibm公司一套云管理解决方案。它为 it 服务提供云管理功能,支持通过易于使用的界面管理公有云、私有云和混合云,使得企业可以整合本地数据中心资源,云业务流程和云服务的自动化部署。它可以为企业提供现成可用的模式和内容包,帮助企业加快配置和部署的速度。它将各种管理工具(例如,计量、使用、记账、监控和容量管理)集成到云服务中,并且在开发和测试应用后可以立即上线。不过,9月29日ibm发布安全公告,ibm cloud orchestrator发现重要漏洞,需要尽快升级。以下是漏洞详情:
漏洞详情
来源:
https://www.ibm.com/support/pages/node/6339089
1.cveid:cve-2020-4589 cvss评分: 8.1 高危
ibm websphere application server(was)是ibm公司的一款集优化、创建并连接内部部署和云端部署的应用产品。该产品是javaee和web服务应用程序的平台,也是ibm websphere软件平台的基础。
ibm websphere application server 7.0、8.0、8.5和9.0可以允许远程攻击者使用来自不受信任来源的特制序列化对象序列,在系统上执行任意代码。该漏洞影响ibm cloud orchestrator 和 ibm cloud orchestrator enterprise。
2.cveid:cve-2020-4534 cvss评分: 7.8 高
由于对unc(universal naming convention,通用命名规则)路径的处理不当,ibm websphere application server 7.0、8.0、8.5和9.0可能允许经过本地身份验证的攻击者获得系统上提升的特权。通过使用特制的unc路径调度任务,攻击者可以利用此漏洞执行具有更高特权的任意代码。该漏洞影响ibm cloud orchestrator 和 ibm cloud orchestrator enterprise。
3.cveid: cve-2020-4643 cvss评分: 7.5 高
ibm在处理xml数据时,websphere application server 7.0、8.0、8.5和9.0容易受到xml外部实体注入(xxe)攻击。远程攻击者可以利用此漏洞来泄露敏感信息。该漏洞会影响ibm cloud orchestrator 和 ibm cloud orchestrator enterprise。
4.cveid:cve-2019-17566 cvss评分: 7.5 高
apache batik(一种java工具包) 由“xlink:href”属性易受服务器端请求伪造的攻击。通过使用特制参数,攻击者可以利用此漏洞使底层服务器发出任意get请求。该漏洞影响ibm cloud orchestrator 和 ibm cloud orchestrator enterprise。
5.cveid: cve-2020-4578 cvss评分: 5.4 中
ibm websphere application server 7.0、8.0、8.5和9.0容易受到跨站点脚本的攻击。此漏洞允许用户在web ui中嵌入任意javascript代码,从而更改预期的功能,从而可能导致可信会话中的凭据泄露。该漏洞影响ibm cloud orchestrator 和 ibm cloud orchestrator enterprise。
6.cveid:cve-2020-4575 cvss评分: 4.7 中
配置高可用性部署管理器时,ibm websphere application server nd 8.5和9.0以及ibm websphere virtual enterprise 7.0和8.0容易受到跨站点脚本的攻击。该漏洞影响ibm cloud orchestrator 和 ibm cloud orchestrator enterprise。
受影响产品和版本
上述漏洞影响ibm cloud orchestrator和ibm cloud orchestrator enterprise 2.5.0.10版本
解决方案
ibm推荐的解决方案是在ibm cloud orchestrator和ibm cloud orchestrator enterprise 2.5.0.10上手动升级到适当的websphere application server临时修订。
查看更多漏洞信息 以及升级请访问官网:
https://www.ibm.com/blogs/psirt/
我司在申请网站备案时备案信息被驳回
现在网站打不开是为什么-虚拟主机/数据库问题
阿里云永久服务器多少钱
山东枣庄云服务器购买网站
云服务器能挂游戏嘛
云端服务器怎么购买
购买华为云服务器有什么用
网站打不开请查询下原因-虚拟主机/数据库问题
漏洞详情
来源:
https://www.ibm.com/support/pages/node/6339089
1.cveid:cve-2020-4589 cvss评分: 8.1 高危
ibm websphere application server(was)是ibm公司的一款集优化、创建并连接内部部署和云端部署的应用产品。该产品是javaee和web服务应用程序的平台,也是ibm websphere软件平台的基础。
ibm websphere application server 7.0、8.0、8.5和9.0可以允许远程攻击者使用来自不受信任来源的特制序列化对象序列,在系统上执行任意代码。该漏洞影响ibm cloud orchestrator 和 ibm cloud orchestrator enterprise。
2.cveid:cve-2020-4534 cvss评分: 7.8 高
由于对unc(universal naming convention,通用命名规则)路径的处理不当,ibm websphere application server 7.0、8.0、8.5和9.0可能允许经过本地身份验证的攻击者获得系统上提升的特权。通过使用特制的unc路径调度任务,攻击者可以利用此漏洞执行具有更高特权的任意代码。该漏洞影响ibm cloud orchestrator 和 ibm cloud orchestrator enterprise。
3.cveid: cve-2020-4643 cvss评分: 7.5 高
ibm在处理xml数据时,websphere application server 7.0、8.0、8.5和9.0容易受到xml外部实体注入(xxe)攻击。远程攻击者可以利用此漏洞来泄露敏感信息。该漏洞会影响ibm cloud orchestrator 和 ibm cloud orchestrator enterprise。
4.cveid:cve-2019-17566 cvss评分: 7.5 高
apache batik(一种java工具包) 由“xlink:href”属性易受服务器端请求伪造的攻击。通过使用特制参数,攻击者可以利用此漏洞使底层服务器发出任意get请求。该漏洞影响ibm cloud orchestrator 和 ibm cloud orchestrator enterprise。
5.cveid: cve-2020-4578 cvss评分: 5.4 中
ibm websphere application server 7.0、8.0、8.5和9.0容易受到跨站点脚本的攻击。此漏洞允许用户在web ui中嵌入任意javascript代码,从而更改预期的功能,从而可能导致可信会话中的凭据泄露。该漏洞影响ibm cloud orchestrator 和 ibm cloud orchestrator enterprise。
6.cveid:cve-2020-4575 cvss评分: 4.7 中
配置高可用性部署管理器时,ibm websphere application server nd 8.5和9.0以及ibm websphere virtual enterprise 7.0和8.0容易受到跨站点脚本的攻击。该漏洞影响ibm cloud orchestrator 和 ibm cloud orchestrator enterprise。
受影响产品和版本
上述漏洞影响ibm cloud orchestrator和ibm cloud orchestrator enterprise 2.5.0.10版本
解决方案
ibm推荐的解决方案是在ibm cloud orchestrator和ibm cloud orchestrator enterprise 2.5.0.10上手动升级到适当的websphere application server临时修订。
查看更多漏洞信息 以及升级请访问官网:
https://www.ibm.com/blogs/psirt/
我司在申请网站备案时备案信息被驳回
现在网站打不开是为什么-虚拟主机/数据库问题
阿里云永久服务器多少钱
山东枣庄云服务器购买网站
云服务器能挂游戏嘛
云端服务器怎么购买
购买华为云服务器有什么用
网站打不开请查询下原因-虚拟主机/数据库问题