云安全日报200901:IBM主动故障管理系统发现高危漏洞,需要尽快升级
原标题:云安全日报200901:IBM主动故障管理系统发现高危漏洞,需要尽快升级
IBM Operationas Analytics Predictive Insights是美国IBM公司的一套主动故障管理系统。该系统能够监测物理和逻辑基础设备的性能,并在发生故障时发出警报。
不过根据8月31日IBM安全公告显示,该主动故障管理系统爆出高危漏洞,需要尽快升级,以下是漏洞详情:
漏洞详情
来源:
https://www.ibm.com/support/pages/node/6324679
IBM Operations Analytics Predictive Insights使用Faster-XML Jackson-databind(FasterXMLjackson-databind是一个简单基于Java应用库,Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象)(公开的漏洞)。不过值得注意的是,在IBM Operations Analytics Predictive Insights中使用Jackson-databind仅限于REST(Representational State Transfer,是一种针对网络应用的设计和开发方式,可以降低开发的复杂性,提高系统的可伸缩性)中介实用程序。如果您没有安装此服务,则不受此公告的影响。
1.CVEID: CVE-2020-10969 CSS评分:9.8 高危
FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码,这是由javax.swing.JEditorPane中不安全的反序列化引起的。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。
2.CVEID: CVE-2020-11619 CSS评分:9.8 高危
FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码,这是由org.springframework.aop.config.MethodLocatingFactoryBean(又称为spring-aop)中不安全的反序列化引起的。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。
3.CVEID: CVE-2020-11111 CSS评分:9.8 高危
由于org.apache.activemq。*(又名activemq-jms,activemq-core,activemq-pool和activemq-pool-jms)中的不安全反序列化,FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码)。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。
4.CVEID: CVE-2020-11620 CSS评分:9.8 高危
由于org.apache.commons.jelly.impl.Embedded(又名commons-jelly)中的不安全反序列化,FasterXML Jackson-databind可能允许远程攻击者在系统上执行任意代码。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。
5.CVEID: CVE-2020-10672 CSS评分:9.8 高危
由于org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory(aka aries.transaction.jms)中的不安全反序列化,FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。
6.CVEID: CVE-2020-11112 CSS评分:9.8 高危
由于org.apache.commons.proxy.provider.remoting.RmiProvider(aka apache / commons-proxy)中不安全的反序列化,FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。
7.CVEID: CVE-2020-10673 CSS评分:9.8 高危
由于com.caucho.config.types.ResourceRef(aka caucho-quercus)中的不安全反序列化,FasterXML Jackson-databind可能允许远程攻击者在系统上执行任意代码。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。
8.CVEID: CVE-2020-10968 CSS评分:9.8 高危
由于org.aoju.bus.proxy.provider.remoting.RmiProvider(aka bus-proxy)中不安全的反序列化,FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。
9.CVEID: CVE-2020-11113 CSS评分:9.8 高危
由于org.apache.openjpa.ee.WASRegistryManagedRuntime(aka openjpa)中不安全的反序列化,FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。
受影响产品和版本
上述漏洞影响IBM Operations Analytics Predictive Insights 1.3.6版本(仅当您在Predictive Insights中安装了REST中介服务时)
解决方案
IBM公司发布了IBM Operations Analytics Predictive Insights 1.3.6临时补丁3(仅当您在Predictive Insights中安装了REST中介服务时)
查看更多漏洞信息 以及升级请访问官网:
https://www.ibm.com/blogs/psirt/