根據(jù)IBM 8月20日的安全公告,IBM產品已經暴露了高風險漏洞��,需要盡快進行升級��。
以下是此漏洞的詳細信息:1. IBM DB2 IBM DB2是由IBM在美國開發(fā)的關系數(shù)據(jù)庫管理系統(tǒng)���。
它的主要操作環(huán)境是UNIX(包括IBM自己的AIX),Linux�����,IBM i(以前稱為OS / 400)�,z / OS和Windows服務器版本。
用于Linux�����,UNIX和Windows的IBM DB2(包括DB2 Connect服務器)可能會由于不當使用共享內存而使本地攻擊者對系統(tǒng)執(zhí)行未經授權的操作。
通過發(fā)送特制請求�����,攻擊者可以利用此漏洞獲取敏感信息或導致拒絕服務�。
漏洞詳細信息來源:https://www.ibm.com/support/pages/node/6242356CVEID:CVE-2020-4414CSS得分:5.1中級攻擊者可以使用此漏洞讀取/寫入對共享內存的訪問并在目標上訪問它系統(tǒng)進行未經授權的操作����。
存在此漏洞是因為開發(fā)人員忽略了在DB2跟蹤工具使用的共享內存周圍添加顯式內存保護。
這樣����,任何本地用戶都可以對存儲區(qū)域進行讀寫訪問。
反過來���,這允許訪問關鍵的敏感數(shù)據(jù)以及更改跟蹤子系統(tǒng)的功能的能力��,從而導致數(shù)據(jù)庫中服務條件的拒絕��。
此漏洞可能會引起其他問題����,例如,與DB2數(shù)據(jù)庫在同一臺計算機上運行的低特權進程���。
攻擊者還可能更改DB2跟蹤并捕獲敏感數(shù)據(jù)��,這些敏感數(shù)據(jù)以后可用于后續(xù)攻擊中����。
Windows平臺上受影響的產品和版本上的IBM Db2 V9.7��,V10.1��,V10.5��,V11.1和V11.5的所有修訂包級別均受到影響��。
解決方案運行受影響程序的任何易受攻擊的修訂包級別的客戶都可以從官方的IBM Fix Central下載包含此問題的臨時修訂的特殊版本�。
根據(jù)每個受影響版本的最新修訂包級別,可以使用以下特殊版本:V9.7 FP11��,V10.1 FP6��,V10.5 FP11�、11.1 FP5和V11.5 GA。
可以將它們應用于適當版本的任何受影響的修訂包級別�����,以修復此漏洞。
2. IBM Cloud CLI IBM Cloud CLI是IBM Cloud的命令行工具�����,可用于創(chuàng)建�,開發(fā)和部署Web��,移動和微服務應用程序����。
在IBM部署服務中發(fā)現(xiàn)了Golang中的一個漏洞(通常稱為Go,它被設計為用于配備Web服務器�,存儲集群或類似目的的大型中央服務器的系統(tǒng)編程語言)。
在某些情況下�����,它可能允許攻擊者繞過安全性限制��。
漏洞詳細信息來源:https://www.ibm.com/support/pages/node/62629851�。
CVEID:CVE-2020-15586 CSS得分:7.5由于某些net / http服務器中的數(shù)據(jù)而導致的高風險爭用,Golang Go容易受到拒絕服務攻擊���。
通過發(fā)送特制的HTTP請求�,遠程攻擊者可以利用此漏洞導致拒絕服務。
2. CVEID:CVE-2020-14039 CSS得分:5.3中級Go可能允許遠程攻擊者繞過安全限制�����。
這是由于X.509證書驗證過程中對VerifyOptions.KeyUsages EKU要求的驗證不正確引起的�。
攻擊者可以利用此漏洞來訪問系統(tǒng)。
受影響的產品和版本IBM Cloud CLI 1.1.0或更早版本解決方案可以修復IBM Cloud CLI升級到1.2.0或更高版本的問題��。
有關更多漏洞信息和升級���,請訪問官方網站:https://www.ibm .com / blogs / psirt /
