根據(jù)IBM 8月20日的安全公告����,IBM產(chǎn)品已經(jīng)暴露了高風(fēng)險(xiǎn)漏洞,需要盡快進(jìn)行升級(jí)�。
以下是此漏洞的詳細(xì)信息:1. IBM DB2 IBM DB2是由IBM在美國(guó)開發(fā)的關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)。
它的主要操作環(huán)境是UNIX(包括IBM自己的AIX)�����,Linux��,IBM i(以前稱為OS / 400)���,z / OS和Windows服務(wù)器版本���。
用于Linux,UNIX和Windows的IBM DB2(包括DB2 Connect服務(wù)器)可能會(huì)由于不當(dāng)使用共享內(nèi)存而使本地攻擊者對(duì)系統(tǒng)執(zhí)行未經(jīng)授權(quán)的操作���。
通過發(fā)送特制請(qǐng)求���,攻擊者可以利用此漏洞獲取敏感信息或?qū)е戮芙^服務(wù)。
漏洞詳細(xì)信息來源:https://www.ibm.com/support/pages/node/6242356CVEID:CVE-2020-4414CSS得分:5.1中級(jí)攻擊者可以使用此漏洞讀取/寫入對(duì)共享內(nèi)存的訪問并在目標(biāo)上訪問它系統(tǒng)進(jìn)行未經(jīng)授權(quán)的操作�。
存在此漏洞是因?yàn)殚_發(fā)人員忽略了在DB2跟蹤工具使用的共享內(nèi)存周圍添加顯式內(nèi)存保護(hù)。
這樣�,任何本地用戶都可以對(duì)存儲(chǔ)區(qū)域進(jìn)行讀寫訪問。
反過來�,這允許訪問關(guān)鍵的敏感數(shù)據(jù)以及更改跟蹤子系統(tǒng)的功能的能力���,從而導(dǎo)致數(shù)據(jù)庫(kù)中服務(wù)條件的拒絕。
此漏洞可能會(huì)引起其他問題��,例如�����,與DB2數(shù)據(jù)庫(kù)在同一臺(tái)計(jì)算機(jī)上運(yùn)行的低特權(quán)進(jìn)程�����。
攻擊者還可能更改DB2跟蹤并捕獲敏感數(shù)據(jù)�����,這些敏感數(shù)據(jù)以后可用于后續(xù)攻擊中�。
Windows平臺(tái)上受影響的產(chǎn)品和版本上的IBM Db2 V9.7,V10.1�,V10.5,V11.1和V11.5的所有修訂包級(jí)別均受到影響��。
解決方案運(yùn)行受影響程序的任何易受攻擊的修訂包級(jí)別的客戶都可以從官方的IBM Fix Central下載包含此問題的臨時(shí)修訂的特殊版本��。
根據(jù)每個(gè)受影響版本的最新修訂包級(jí)別�,可以使用以下特殊版本:V9.7 FP11,V10.1 FP6�,V10.5 FP11、11.1 FP5和V11.5 GA����。
可以將它們應(yīng)用于適當(dāng)版本的任何受影響的修訂包級(jí)別,以修復(fù)此漏洞��。
2. IBM Cloud CLI IBM Cloud CLI是IBM Cloud的命令行工具����,可用于創(chuàng)建,開發(fā)和部署Web����,移動(dòng)和微服務(wù)應(yīng)用程序。
在IBM部署服務(wù)中發(fā)現(xiàn)了Golang中的一個(gè)漏洞(通常稱為Go�����,它被設(shè)計(jì)為用于配備Web服務(wù)器�,存儲(chǔ)集群或類似目的的大型中央服務(wù)器的系統(tǒng)編程語(yǔ)言)。
在某些情況下����,它可能允許攻擊者繞過安全性限制��。
漏洞詳細(xì)信息來源:https://www.ibm.com/support/pages/node/62629851�。
CVEID:CVE-2020-15586 CSS得分:7.5由于某些net / http服務(wù)器中的數(shù)據(jù)而導(dǎo)致的高風(fēng)險(xiǎn)爭(zhēng)用����,Golang Go容易受到拒絕服務(wù)攻擊。
通過發(fā)送特制的HTTP請(qǐng)求���,遠(yuǎn)程攻擊者可以利用此漏洞導(dǎo)致拒絕服務(wù)���。
2. CVEID:CVE-2020-14039 CSS得分:5.3中級(jí)Go可能允許遠(yuǎn)程攻擊者繞過安全限制。
這是由于X.509證書驗(yàn)證過程中對(duì)VerifyOptions.KeyUsages EKU要求的驗(yàn)證不正確引起的��。
攻擊者可以利用此漏洞來訪問系統(tǒng)����。
受影響的產(chǎn)品和版本IBM Cloud CLI 1.1.0或更早版本解決方案可以修復(fù)IBM Cloud CLI升級(jí)到1.2.0或更高版本的問題。
有關(guān)更多漏洞信息和升級(jí)�,請(qǐng)?jiān)L問官方網(wǎng)站:https://www.ibm .com / blogs / psirt /
