云安全日报200821：IBM DB2和Cloud CLI发现高危漏洞，可窃取关键数据，需要尽快升级

根据IBM 8月20日安全公告显示，IBM产品爆出高危漏洞，需要尽快升级。以下是漏洞详情：

一.IBM DB2

IBM DB2 是美国IBM公司开发的一套关系型数据库管理系统，它主要的运行环境为UNIX（包括IBM自家的AIX）、Linux、IBM i（旧称OS/400）、z/OS，以及Windows服务器版本。适用于Linux，UNIX和Windows的IBM DB2（包括DB2 Connect服务器）可能允许本地攻击者由于共享内存使用不当而对系统执行未经授权的操作。通过发送特制请求，攻击者可以利用此漏洞来获取敏感信息或导致拒绝服务。

漏洞详情

来源：

https://www.ibm.com/support/pages/node/6242356

CVEID： CVE-2020-4414

CSS评分：5.1 中级

攻击者可以利用该漏洞对共享内存进行读/写访问，并在目标系统上执行未经授权的操作。 之所以存在此漏洞是因为开发人员忽略了在DB2 跟踪工具使用的共享内存周围添加显式内存保护。这样，任何本地用户都可以对该存储区进行读写访问。反过来，这允许访问关键敏感数据以及更改跟踪子系统功能的能力，从而导致数据库中的服务条件被拒绝。 此漏洞可能导致其他问题-例如，与DB2 数据库在同一台计算机上运行的低特权进程。攻击者还可能更改DB2 跟踪并捕获敏感数据，这些数据稍后可用于后续攻击。

受影响的产品和版本

Windows平台上的IBM Db2 V9.7，V10.1，V10.5，V11.1和V11.5版本的所有修订包级别均受到影响。

解决方案

运行受影响程序的任何易受攻击的修订包级别的客户都可以从IBM官方 Fix Central下载包含此问题的临时修订的特殊版本。根据每个受影响的发行版的最新修订包级别，可以提供这些特殊版本：V9.7 FP11，V10.1 FP6，V10.5 FP11、11.1 FP5和V11.5 GA。它们可以应用于适当版本的任何受影响的修订包级别，以修复此漏洞。

二.IBM Cloud CLI

IBM Cloud CLI 是IBM Cloud的一个命令行工具，可用于创建、开发和部署 Web、移动和微服务应用程序。

在IBM 部署服务中发现了Golang(一般简称Go,Go 语言被设计成一门应用于搭载 Web 服务器，存储集群或类似用途的巨型中央服务器的系统编程语言)漏洞，在某些情况下，它可能允许攻击者绕过安全限制.

漏洞详情

来源：

https://www.ibm.com/support/pages/node/6262985

1.CVEID： CVE-2020-15586

CSS评分：7.5 高危

由于某些net / http服务器中的数据争用，Golang Go容易受到拒绝服务的攻击。通过发送特制的HTTP请求，远程攻击者可以利用此漏洞导致拒绝服务状况。

2.CVEID： CVE-2020-14039

CSS评分：5.3 中级

Go可能会让远程攻击者绕过安全性限制，这是由X.509证书验证期间对VerifyOptions.KeyUsages EKU要求进行的不正确验证所引起的。攻击者可以利用此漏洞来访问系统。

受影响的产品和版本

IBM Cloud CLI 1.1.0或更早版本

解决方案

IBM Cloud CLI升级到1.2.0或更高版本可修复

查看更多漏洞信息 以及升级请访问官网：

https://www.ibm.com/blogs/psirt/