IBM WebSphere Application Server(WAS)是美国IBM公司的一款集优化、创建并连接内部部署和云端部署的应用产品。该产品是JavaEE和Web服务应用程序的平台,也是IBM WebSphere软件平台的基础。不过根据9月17日IBM安全公告显示,该产品爆出重要漏洞,需要尽快升级。以下是漏洞详情:
漏洞详情
CVEID:CVE-2020-4643 CVSS评分:7.5 高
来源:
https://www.ibm.com/support/pages/node/6334311
WebSphere Application Server容易受到信息泄露漏洞的攻击。在处理XML数据时,IBM WebSphere Application Server容易受到XML外部实体注入(XXE)攻击。
外部实体注入(XXE)攻击
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用。XML外部实体注入(XXE),通过DTD外部实体声明,输入恶意代码,进行攻击。攻击者利用此漏洞可以读取任意文件,执行系统命令,攻击内网网站等。
受影响产品和版本
此漏洞影响WebSphere Application Server 9.0 , 8.5 , 8.0 , 7.0 版本
解决方案
对于传统的WebSphere Application Server和WebSphere Application Server Hypervisor Edition:
对于V9.0.0.0到9.0.5.5:
根据临时修订要求升级到最低修订包级别,然后应用临时修订PH27509或应用修订包9.0.5.6或更高版本(目标可用性4Q2020)。
对于V8.5.0.0到8.5.5.17:
根据临时修订要求升级到最低修订包级别,然后应用临时修订 PH27509-
或应用修订包8.5.5.19或更高版本(目标可用性1Q2021)。
对于V8.0.0.0到8.0.0.15:
升级到8.0.0.15,然后应用Interim Fix PH27509
对于V7.0.0.0到7.0.0.45:
升级到7.0.0.45,然后应用临时修订PH27509
这里需要注意的是:WebSphere Application Server V7.0和V8.0不再完全受支持。IBM建议升级到该产品的受支持的修复版本/发行版/平台。
查看更多漏洞信息 以及升级请访问官网:
https://www.ibm.com/blogs/psirt/
(免责声明:本网站内容主要来自原创、合作媒体供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )
相关阅读
- 冷链温湿度监控系统源头厂家--朗致科技
- 奇瑞“猎鹰”护航春运,具身智能多场景上岗
- 以世界标准,打造世界级好车 吉利银河成为首个“不补能”直通北冰洋的国产新能源品牌
- 15万SUV的“大沙发”,让春节返乡再也不熬人了!
- 吉利银河M7全球首秀 以三大黄金价值颠覆中级电混SUV市场
- 出口11.96万辆,同比增长48.1%,奇瑞继续领跑中国汽车“出海”
- 2026真正的Mini LED权威来袭!TCL Q10M交出好画质的满分答卷
- 爆款集群效应凸显:吉利银河2025年销售近124万辆,同比增长150%
- 全国首家灵芯机器人租赁平台上线!30分钟极速达,用户好评如潮!
- 家居品牌营销案例:TATA木门美好人居创新大会IP化营销亮点解析