IBM WebSphere Application Server(WAS)是美国IBM公司的一款集优化、创建并连接内部部署和云端部署的应用产品。该产品是JavaEE和Web服务应用程序的平台,也是IBM WebSphere软件平台的基础。不过根据9月17日IBM安全公告显示,该产品爆出重要漏洞,需要尽快升级。以下是漏洞详情:
漏洞详情
CVEID:CVE-2020-4643 CVSS评分:7.5 高
来源:
https://www.ibm.com/support/pages/node/6334311
WebSphere Application Server容易受到信息泄露漏洞的攻击。在处理XML数据时,IBM WebSphere Application Server容易受到XML外部实体注入(XXE)攻击。
外部实体注入(XXE)攻击
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用。XML外部实体注入(XXE),通过DTD外部实体声明,输入恶意代码,进行攻击。攻击者利用此漏洞可以读取任意文件,执行系统命令,攻击内网网站等。
受影响产品和版本
此漏洞影响WebSphere Application Server 9.0 , 8.5 , 8.0 , 7.0 版本
解决方案
对于传统的WebSphere Application Server和WebSphere Application Server Hypervisor Edition:
对于V9.0.0.0到9.0.5.5:
根据临时修订要求升级到最低修订包级别,然后应用临时修订PH27509或应用修订包9.0.5.6或更高版本(目标可用性4Q2020)。
对于V8.5.0.0到8.5.5.17:
根据临时修订要求升级到最低修订包级别,然后应用临时修订 PH27509-
或应用修订包8.5.5.19或更高版本(目标可用性1Q2021)。
对于V8.0.0.0到8.0.0.15:
升级到8.0.0.15,然后应用Interim Fix PH27509
对于V7.0.0.0到7.0.0.45:
升级到7.0.0.45,然后应用临时修订PH27509
这里需要注意的是:WebSphere Application Server V7.0和V8.0不再完全受支持。IBM建议升级到该产品的受支持的修复版本/发行版/平台。
查看更多漏洞信息 以及升级请访问官网:
https://www.ibm.com/blogs/psirt/
(免责声明:本网站内容主要来自原创、合作媒体供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )
相关阅读
- 植物医生冲刺IPO,31年积淀树国货美妆标杆
- 植物医生IPO获受理,美妆品牌升级再发力
- 吉利银河A7预售10.38万元起,首搭雷神AI电混2.0,油耗低至2L
- TATA木门建博会三大变革:静音技术破圈+轻资产招商+卫星店盈利模型落地
- TATA木门高调亮相建博会以静音创新勾勒美好人居新图景
- 建博会论道:从TATA木门革新到家居生态 重构行业变革聚势燎原
- 广州建博会首日 TATA木门“门启新境”演绎家居革新进化论
- 第27届广州建博会启幕在即 TATA木门三大变革再启新境
- 2025广州建博会将至!TATA木门携“王炸”产品阵容强势来袭
- WEC 2025 世界算力博览会落地鄂尔多斯:汇聚全球算力智慧,共绘产业升级新图景