云安全日报200806：IBM厂商多款产品发现漏洞，需要尽快升级

IBM于8月5日晚，发布了一些列安全公告。根据公告显示，IBM多款产品爆出漏洞，建议尽快升级。以下是漏洞详情：

一.商业消息中间件IBM MQ

IBM MQ（IBM Message Queue）是IBM的一款商业消息中间产品，适用于分布式计算环境或异构系统之中。消息队列技术是分布式应用间交换信息的一种技术。消息队列可驻留在内存或磁盘上,队列存储消息直到它们被应用程序读走。通过消息队列，应用程序可独立地执行--它们不需要知道彼此的位置、或在继续执行前不需要等待接收程序接收此消息。不过根据IBM最近安全公告显示，IBM MQ存在漏洞。

漏洞详情

1.CVEID：CVE-2020-4375 ，CVE-2020-4376

来源：https : //www.ibm.com/support/pages/node/6255988

IBM MQ可能允许攻击者由于创建动态队列的错误导致的内存泄漏而导致拒绝服务，最终可导致目标服务器停止服务，即干掉服务器。

受影响的产品及版本：

IBM MQ 9.1 LTS

IBM MQ 9.0 LTS

IBM MQ 8.0

IBM MQ 9.1 CD

IBM WebSphere MQ 7.5

IBM WebSphere MQ 7.1

解决方案：

对于IBM WebSphere MQ 7.1：

请与IBM支持人员联系并请求对APAR IT31336的修复

对于IBM WebSphere MQ 7.5：

请与IBM支持人员联系并请求对APAR IT31336的修复

对于IBM MQ 8.0：

应用修订包8.0.0.15修复

对于IBM MQ 9.0 LTS：

应用修订包9.0.0.10修复

对于IBM MQ 9.1 LTS：

应用修订包9.1.0.5修复

对于IBM MQ 9.1 CD:

升级到IBM MQ 9.2修复

2.CVEID：CVE-2020-4329

来源：https : //www.ibm.com/support/pages/node/6255994

在IBM MQ随附的IBM WebSphere Liberty版本中发现了一个漏洞。IBM WebSphere Application Server 7.0、8.0、8.5、9.0和Liberty 17.0.0.3至20.0.0.4可能允许远程的，经过身份验证的攻击者获取由不正确的参数检查引起的敏感信息。

攻击者可以利用该漏洞进行欺骗攻击。在网络中，如果使用伪装的身份和地址与被攻击的主机进行通信，向其发送假报文，往往会导致主机出现错误操作，甚至对攻击主机做出信任判断。这时，攻击者可冒充被信任的主机进入系统，并有机会预留后门供以后使用。

受影响的产品及版本：

IBM MQ 9.1 LTS

IBM MQ 9.1 CD

解决方案：

对于IBM MQ 9.1 LTS：

应用修订包9.1.0.6修复

对于IBM MQ 9.1 CD：

升级到IBM MQ 9.2修复

3.CVEID：CVE-2020-4465

来源：https : //www.ibm.com/support/pages/node/6255996

用于HPE NonStop（HP服务器操作系统） 8.0、9.1 CD和9.1 LTS的IBM MQ，IBM MQ Appliance和IBM MQ由于通道处理代码中的错误而容易受到缓冲区溢出漏洞的影响。远程攻击者可能使用较旧的客户端溢出缓冲区，并导致拒绝服务。最终可导致目标服务器停止服务，即干掉服务器。

受影响的产品及版本：

IBM MQ 9.1 LTS

IBM MQ 9.0 LTS

IBM MQ 8.0

IBM MQ 9.1 CD

IBM WebSphere MQ 7.5

IBM WebSphere MQ 7.1

解决方案：

对于IBM WebSphere MQ 7.1：

请与IBM支持人员联系并请求对APAR IT32141的修复

对于IBM WebSphere MQ 7.5：

请与IBM支持人员联系并请求对APAR IT32141的修复

对于IBM MQ 8：

应用修订包8.0.0.15修复

对于IBM MQ 9.0 LTS：

应用修订包9.0.0.10修复

对于IBM MQ 9.1 LTS：

应用修订包9.1.0.6修复

对于IBM MQ 9.1 CD：

升级到IBM MQ 9.1.5修复

二.应用服务器WAS

IBM WebSphere Application Server（WAS）是美国IBM公司的一款应用服务器产品。该产品是JavaEE和Web服务应用程序的平台，也是IBMWebSphere软件平台的基础。IBM WebSphere Application Server附带的IBM®SDK Java™Technology Edition中存在多个漏洞。

漏洞详情：

来源：https://www.ibm.com/support/pages/node/6256732

1.CVEID： CVE-2020-2601

Oracle Java SE中与Java SE相关的未指定漏洞，Java SE Embedded Security组件可能允许未经身份验证的攻击者获取敏感信息，从而使用未知攻击媒介对机密性造成高度影响。

2.CVEID： CVE-2020-14621

Java SE中与JAXP组件相关的未指定漏洞可能使未经身份验证的攻击者不会造成机密性影响，完整性影响低以及可用性影响。

3.CVEID： CVE-2020-14581

一种与2D组件相关的Oracle Java SE和Java SE Embedded中未指定的漏洞可能允许未经身份验证的攻击者使用未知攻击媒介来窃取敏感信息，从而导致较低的机密性影响。

4.CVEID： CVE-2020-14579

一种Java SE中与Libraries组件相关的未指定漏洞可能允许未经身份验证的攻击者使用未知攻击向量来拒绝服务，从而导致可用性影响较低。

5.CVEID： CVE-2020-14578

Java SE中与Libraries组件相关的未指定漏洞可能允许未经身份验证的攻击者拒绝服务，从而导致使用未知攻击媒介的可用性降低。

6.CVEID： CVE-2020-14577

一种与JSSE组件相关的Java SE中未指定的漏洞可能允许未经身份验证的攻击者使用未知攻击向量来获取敏感信息，从而导致较低的机密性影响。

7.CVEID: CVE-2020-2590

一种与Java SE Security组件相关的Java SE中未指定的漏洞可能允许未经身份验证的攻击者不会造成机密性影响，低完整性影响以及可用性影响。

受影响的产品及版本：

WebSphere Application Server Liberty 持续交互版本

WebSphere Application Server 9.0

WebSphere Application Server 8.5

解决方案：

对于WebSphere Application Server Liberty：

升级到Java技术版本8 SR6 FP15的IBM SDK，请参阅IBM Java SDK for Liberty

对于传统的版本9 WebSphere Application Server：

使用IBM Knowledge Center中的指示信息更新到IBM SDK Java Technology Edition版本8 Service Refresh 6 FP15 ，然后在分布式环境中安装和更新IBM SDK Java Technology Edition，然后使用IBM Installation Manager来访问在线产品存储库以进行安装SDK或使用IBM Installation Manager并从Fixcentral访问软件包。

对于V8.5.0.0至8.5.5.17的WebSphere Application Server传统版和WebSphere Application Server Hypervisor版：

对于您使用的IBM SDK（Java技术版本），按照下面的临时修订中所述升级到WebSphere Application Server的最低修订包级别，然后应用临时修订：

对于IBM SDK Java Technology Edition版本7

应用临时修订PH27845：将升级到IBM SDK，Java Technology Edition，版本7 Service Refresh 10 Fix Pack 70。

对于IBM SDK Java Technology Edition版本7R1

应用临时修订PH27844：将升级到IBM SDK，Java Technology Edition，版本7R1 Service Refresh 4 Fix Pack 70。

对于IBM SDK Java Technology Edition版本8 SR6 FP15

应用临时修订PH27842：将升级到IBM SDK，Java Technology Edition，版本8 Service Refresh 6 FP15。

对于已经升级为使用与WebSphere Application Server Fix Pack 8.5.5.11或更高版本捆绑在一起的默认IBM SDK版本8的环境：应用临时修订PH27843：将升级到IBM SDK，Java Technology Edition，版本8 Service Refresh 6 FP15 。或者应用WebSphere Application Server Fix Pack 18（8.5.5.18）或更高版本附带的IBM Java SDK（目标可用性为2020年第三季度）。

对于WebSphere Application Server的Application Client：

请遵循上面针对WebSphere Application Server的指示信息，以下载您的Application Client版本所需的临时修订。

三. 服务器操作系统 IBM i

IBM服务器系列是服务器的品牌系列，IBM eServer家族目前总体来说是拥有4条产品线：i系列（iSeries）、p系列（pSeries）、x系列（xSeries）和z系列（zSeries）。

i系列服务器目前主要包括i800、i810、i825、i870和i890五个子系列，通常都比较高档，最高的目前也可支持32路处理器系统。 IBM i使用的IBM®SDK Java™Technology Edition和IBM®Runtime Environment Java™中存在漏洞。

漏洞详情：

1.CVEID： CVE-2019-2949

来源：https://www.ibm.com/support/pages/node/6256634

Java SE中与Kerberos组件相关的未指定漏洞可能允许未经身份验证的攻击者获取敏感信息，从而导致使用未知攻击媒介的机密性受到高度影响。

2.CVEID： CVE-2020-2654

来源：https://www.ibm.com/support/pages/node/6256052

Java SE中与Java SE Libraries组件相关的未指定漏洞可能允许未经身份验证的攻击者拒绝服务，从而导致使用未知攻击媒介的可用性降低。

受影响的产品及版本：

IBM i 7.4

IBM i 7.3

IBM i 7.2

IBM i 7.1

解决方案：

1.可以通过将PTF应用于IBM i操作系统来解决此问题。

支持并修复了IBM i的7.4、7.3、7.2和7.1版本。

2.IBM建议所有运行不受支持版本的受影响产品的用户升级到受支持产品的修复版本。

如果使用此产品随附的IBM Java Runtime运行自己的Java代码，则应评估代码以确定其他Java漏洞是否适用于您的代码。

查看更多漏洞信息 以及升级请访问官网：

https://www.ibm.com/blogs/psirt/