IBM WebSphere Application Server(WAS)是美国IBM公司的一款集优化、创建并连接内部部署和云端部署的应用产品。该产品是JavaEE和Web服务应用程序的平台,也是IBM WebSphere软件平台的基础。不过根据9月17日IBM安全公告显示,该产品爆出重要漏洞,需要尽快升级。以下是漏洞详情:
漏洞详情
CVEID:CVE-2020-4643 CVSS评分:7.5 高
来源:
https://www.ibm.com/support/pages/node/6334311
WebSphere Application Server容易受到信息泄露漏洞的攻击。在处理XML数据时,IBM WebSphere Application Server容易受到XML外部实体注入(XXE)攻击。
外部实体注入(XXE)攻击
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用。XML外部实体注入(XXE),通过DTD外部实体声明,输入恶意代码,进行攻击。攻击者利用此漏洞可以读取任意文件,执行系统命令,攻击内网网站等。
受影响产品和版本
此漏洞影响WebSphere Application Server 9.0 , 8.5 , 8.0 , 7.0 版本
解决方案
对于传统的WebSphere Application Server和WebSphere Application Server Hypervisor Edition:
对于V9.0.0.0到9.0.5.5:
根据临时修订要求升级到最低修订包级别,然后应用临时修订PH27509或应用修订包9.0.5.6或更高版本(目标可用性4Q2020)。
对于V8.5.0.0到8.5.5.17:
根据临时修订要求升级到最低修订包级别,然后应用临时修订 PH27509-
或应用修订包8.5.5.19或更高版本(目标可用性1Q2021)。
对于V8.0.0.0到8.0.0.15:
升级到8.0.0.15,然后应用Interim Fix PH27509
对于V7.0.0.0到7.0.0.45:
升级到7.0.0.45,然后应用临时修订PH27509
这里需要注意的是:WebSphere Application Server V7.0和V8.0不再完全受支持。IBM建议升级到该产品的受支持的修复版本/发行版/平台。
查看更多漏洞信息 以及升级请访问官网:
https://www.ibm.com/blogs/psirt/
(免责声明:本网站内容主要来自原创、合作媒体供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )
相关阅读
- 超级精灵再进化 smart发布EHD超级电混技术:每一程,比增程更成
- 锚定“好房子”战略 TATA木门818静音日让宜居愿景照进万家
- 聚焦“好房子”新政 首届美好人居生活论坛在上海成功举办
- 聚焦“好房子”建设实践 2025美好人居生活论坛沈阳启幕
- TATA木门818静音日 解码千万家庭的新静界 重塑美好人居基石
- 解码“静音+”理念 TATA木门以场景革命重构美好人居新生态
- 8.18万元起售,吉利银河A7正式上市!“五大颠覆”重新定义电混家轿新标准
- AI创新中心从“空间集聚”到“生态共生”
- 新政下的“好房子”实践:TATA木门以智造力承接居住品质升级需求
- 不止于论坛:2025美好人居国际论坛成果落地,TATA木门百家焕新计划开启普惠新航程