您现在的位置: 首页 > 营销资讯营销资讯

云安全日报200930：IBM云管理解决方案发现任意执行代码漏洞，需要尽快升级

发布时间：2020-09-30作者：青鸾传媒来源：全网营销点击：

IBM Cloud Orchestrator（以前是IBM SmartCloud Orchestrator）是IBM公司一套云管理解决方案。它为 IT 服务提供云管理功能，支持通过易于使用的界面管理公有云、私有云和混合云,使得企业可以整合本地数据中心资源，云业务流程和云服务的自动化部署。它可以为企业提供现成可用的模式和内容包，帮助企业加快配置和部署的速度。它将各种管理工具（例如，计量、使用、记账、监控和容量管理）集成到云服务中，并且在开发和测试应用后可以立即上线。不过，9月29日IBM发布安全公告，IBM Cloud Orchestrator发现重要漏洞，需要尽快升级。以下是漏洞详情：iiA青鸾传媒,全网营销,网络推广,百度推广,软文推广,网络营销,网站建设,SEO优化

漏洞详情iiA青鸾传媒,全网营销,网络推广,百度推广,软文推广,网络营销,网站建设,SEO优化

来源：iiA青鸾传媒,全网营销,网络推广,百度推广,软文推广,网络营销,网站建设,SEO优化

https://www.ibm.com/support/pages/node/6339089iiA青鸾传媒,全网营销,网络推广,百度推广,软文推广,网络营销,网站建设,SEO优化

1.CVEID：CVE-2020-4589 CVSS评分： 8.1 高危iiA青鸾传媒,全网营销,网络推广,百度推广,软文推广,网络营销,网站建设,SEO优化

IBM WebSphere Application Server（WAS）是IBM公司的一款集优化、创建并连接内部部署和云端部署的应用产品。该产品是JavaEE和Web服务应用程序的平台，也是IBM WebSphere软件平台的基础。iiA青鸾传媒,全网营销,网络推广,百度推广,软文推广,网络营销,网站建设,SEO优化

IBM WebSphere Application Server 7.0、8.0、8.5和9.0可以允许远程攻击者使用来自不受信任来源的特制序列化对象序列，在系统上执行任意代码。该漏洞会影响IBM Cloud Orchestrator 和 IBM Cloud Orchestrator Enterprise。iiA青鸾传媒,全网营销,网络推广,百度推广,软文推广,网络营销,网站建设,SEO优化

2.CVEID：CVE-2020-4534 CVSS评分： 7.8 高iiA青鸾传媒,全网营销,网络推广,百度推广,软文推广,网络营销,网站建设,SEO优化

由于对UNC(Universal Naming Convention,通用命名规则)路径的处理不当，IBM WebSphere Application Server 7.0、8.0、8.5和9.0可能允许经过本地身份验证的攻击者获得系统上提升的特权。通过使用特制的UNC路径调度任务，攻击者可以利用此漏洞执行具有更高特权的任意代码。该漏洞会影响IBM Cloud Orchestrator 和 IBM Cloud Orchestrator Enterprise。iiA青鸾传媒,全网营销,网络推广,百度推广,软文推广,网络营销,网站建设,SEO优化

3.CVEID： CVE-2020-4643 CVSS评分： 7.5 高iiA青鸾传媒,全网营销,网络推广,百度推广,软文推广,网络营销,网站建设,SEO优化

IBM在处理XML数据时，WebSphere Application Server 7.0、8.0、8.5和9.0容易受到XML外部实体注入（XXE）攻击。远程攻击者可以利用此漏洞来泄露敏感信息。该漏洞会影响IBM Cloud Orchestrator 和 IBM Cloud Orchestrator Enterprise。iiA青鸾传媒,全网营销,网络推广,百度推广,软文推广,网络营销,网站建设,SEO优化

4.CVEID：CVE-2019-17566 CVSS评分： 7.5 高iiA青鸾传媒,全网营销,网络推广,百度推广,软文推广,网络营销,网站建设,SEO优化

Apache Batik(一种Java工具包) 由“xlink：href”属性易受服务器端请求伪造的攻击。通过使用特制参数，攻击者可以利用此漏洞使底层服务器发出任意GET请求。该漏洞会影响IBM Cloud Orchestrator 和 IBM Cloud Orchestrator Enterprise。iiA青鸾传媒,全网营销,网络推广,百度推广,软文推广,网络营销,网站建设,SEO优化

5.CVEID： CVE-2020-4578 CVSS评分： 5.4 中iiA青鸾传媒,全网营销,网络推广,百度推广,软文推广,网络营销,网站建设,SEO优化

IBM WebSphere Application Server 7.0、8.0、8.5和9.0容易受到跨站点脚本的攻击。此漏洞允许用户在Web UI中嵌入任意JavaScript代码，从而更改预期的功能，从而可能导致可信会话中的凭据泄露。该漏洞会影响IBM Cloud Orchestrator 和 IBM Cloud Orchestrator Enterprise。iiA青鸾传媒,全网营销,网络推广,百度推广,软文推广,网络营销,网站建设,SEO优化

6.CVEID：CVE-2020-4575 CVSS评分： 4.7 中iiA青鸾传媒,全网营销,网络推广,百度推广,软文推广,网络营销,网站建设,SEO优化

配置高可用性部署管理器时，IBM WebSphere Application Server ND 8.5和9.0以及IBM WebSphere Virtual Enterprise 7.0和8.0容易受到跨站点脚本的攻击。该漏洞会影响IBM Cloud Orchestrator 和 IBM Cloud Orchestrator Enterprise。iiA青鸾传媒,全网营销,网络推广,百度推广,软文推广,网络营销,网站建设,SEO优化

受影响产品和版本iiA青鸾传媒,全网营销,网络推广,百度推广,软文推广,网络营销,网站建设,SEO优化

上述漏洞影响IBM Cloud Orchestrator和IBM Cloud Orchestrator Enterprise 2.5.0.10版本iiA青鸾传媒,全网营销,网络推广,百度推广,软文推广,网络营销,网站建设,SEO优化

解决方案iiA青鸾传媒,全网营销,网络推广,百度推广,软文推广,网络营销,网站建设,SEO优化

IBM推荐的解决方案是在IBM Cloud Orchestrator和IBM Cloud Orchestrator Enterprise 2.5.0.10上手动升级到适当的WebSphere Application Server临时修订。iiA青鸾传媒,全网营销,网络推广,百度推广,软文推广,网络营销,网站建设,SEO优化

查看更多漏洞信息 以及升级请访问官网：iiA青鸾传媒,全网营销,网络推广,百度推广,软文推广,网络营销,网站建设,SEO优化

https://www.ibm.com/blogs/psirt/iiA青鸾传媒,全网营销,网络推广,百度推广,软文推广,网络营销,网站建设,SEO优化