IBM于8月5日晚，發(fā)布了一些列安全公告。根據(jù)公告顯示，IBM多款產(chǎn)品爆出漏洞，建議盡快升級。以下是漏洞詳情：

一.商業(yè)消息中間件IBM MQ

IBM MQ（IBM Message Queue）是IBM的一款商業(yè)消息中間產(chǎn)品，適用于分布式計(jì)算環(huán)境或異構(gòu)系統(tǒng)之中。消息隊(duì)列技術(shù)是分布式應(yīng)用間交換信息的一種技術(shù)。消息隊(duì)列可駐留在內(nèi)存或磁盤上,隊(duì)列存儲消息直到它們被應(yīng)用程序讀走。通過消息隊(duì)列，應(yīng)用程序可獨(dú)立地執(zhí)行--它們不需要知道彼此的位置、或在繼續(xù)執(zhí)行前不需要等待接收程序接收此消息。不過根據(jù)IBM最近安全公告顯示，IBM MQ存在漏洞。

漏洞詳情

1.CVEID：CVE-2020-4375 ，CVE-2020-4376

來源：https : //www.ibm.com/support/pages/node/6255988

IBM MQ可能允許攻擊者由于創(chuàng)建動態(tài)隊(duì)列的錯誤導(dǎo)致的內(nèi)存泄漏而導(dǎo)致拒絕服務(wù)，最終可導(dǎo)致目標(biāo)服務(wù)器停止服務(wù)，即干掉服務(wù)器。

受影響的產(chǎn)品及版本：

IBM MQ 9.1 LTS

IBM MQ 9.0 LTS

IBM MQ 8.0

IBM MQ 9.1 CD

IBM WebSphere MQ 7.5

IBM WebSphere MQ 7.1

解決方案：

對于IBM WebSphere MQ 7.1：

請與IBM支持人員聯(lián)系并請求對APAR IT31336的修復(fù)

對于IBM WebSphere MQ 7.5：

請與IBM支持人員聯(lián)系并請求對APAR IT31336的修復(fù)

對于IBM MQ 8.0：

應(yīng)用修訂包8.0.0.15修復(fù)

對于IBM MQ 9.0 LTS：

應(yīng)用修訂包9.0.0.10修復(fù)

對于IBM MQ 9.1 LTS：

應(yīng)用修訂包9.1.0.5修復(fù)

對于IBM MQ 9.1 CD:

升級到IBM MQ 9.2修復(fù)

2.CVEID：CVE-2020-4329

來源：https : //www.ibm.com/support/pages/node/6255994

在IBM MQ隨附的IBM WebSphere Liberty版本中發(fā)現(xiàn)了一個漏洞。IBM WebSphere Application Server 7.0、8.0、8.5、9.0和Liberty 17.0.0.3至20.0.0.4可能允許遠(yuǎn)程的，經(jīng)過身份驗(yàn)證的攻擊者獲取由不正確的參數(shù)檢查引起的敏感信息。

攻擊者可以利用該漏洞進(jìn)行欺騙攻擊。在網(wǎng)絡(luò)中，如果使用偽裝的身份和地址與被攻擊的主機(jī)進(jìn)行通信，向其發(fā)送假報(bào)文，往往會導(dǎo)致主機(jī)出現(xiàn)錯誤操作，甚至對攻擊主機(jī)做出信任判斷。這時，攻擊者可冒充被信任的主機(jī)進(jìn)入系統(tǒng)，并有機(jī)會預(yù)留后門供以后使用。

受影響的產(chǎn)品及版本：

IBM MQ 9.1 LTS

IBM MQ 9.1 CD

解決方案：

對于IBM MQ 9.1 LTS：

應(yīng)用修訂包9.1.0.6修復(fù)

對于IBM MQ 9.1 CD：

升級到IBM MQ 9.2修復(fù)

3.CVEID：CVE-2020-4465

來源：https : //www.ibm.com/support/pages/node/6255996

用于HPE NonStop（HP服務(wù)器操作系統(tǒng)） 8.0、9.1 CD和9.1 LTS的IBM MQ，IBM MQ Appliance和IBM MQ由于通道處理代碼中的錯誤而容易受到緩沖區(qū)溢出漏洞的影響。遠(yuǎn)程攻擊者可能使用較舊的客戶端溢出緩沖區(qū)，并導(dǎo)致拒絕服務(wù)。最終可導(dǎo)致目標(biāo)服務(wù)器停止服務(wù)，即干掉服務(wù)器。

受影響的產(chǎn)品及版本：

IBM MQ 9.1 LTS

IBM MQ 9.0 LTS

IBM MQ 8.0

IBM MQ 9.1 CD

IBM WebSphere MQ 7.5

IBM WebSphere MQ 7.1

解決方案：

對于IBM WebSphere MQ 7.1：

請與IBM支持人員聯(lián)系并請求對APAR IT32141的修復(fù)

對于IBM WebSphere MQ 7.5：

請與IBM支持人員聯(lián)系并請求對APAR IT32141的修復(fù)

對于IBM MQ 8：

應(yīng)用修訂包8.0.0.15修復(fù)

對于IBM MQ 9.0 LTS：

應(yīng)用修訂包9.0.0.10修復(fù)

對于IBM MQ 9.1 LTS：

應(yīng)用修訂包9.1.0.6修復(fù)

對于IBM MQ 9.1 CD：

升級到IBM MQ 9.1.5修復(fù)

二.應(yīng)用服務(wù)器WAS

IBM WebSphere Application Server（WAS）是美國IBM公司的一款應(yīng)用服務(wù)器產(chǎn)品。該產(chǎn)品是JavaEE和Web服務(wù)應(yīng)用程序的平臺，也是IBMWebSphere軟件平臺的基礎(chǔ)。IBM WebSphere Application Server附帶的IBM?SDK Java?Technology Edition中存在多個漏洞。

漏洞詳情：

來源：https://www.ibm.com/support/pages/node/6256732

1.CVEID： CVE-2020-2601

Oracle Java SE中與Java SE相關(guān)的未指定漏洞，Java SE Embedded Security組件可能允許未經(jīng)身份驗(yàn)證的攻擊者獲取敏感信息，從而使用未知攻擊媒介對機(jī)密性造成高度影響。

2.CVEID： CVE-2020-14621

Java SE中與JAXP組件相關(guān)的未指定漏洞可能使未經(jīng)身份驗(yàn)證的攻擊者不會造成機(jī)密性影響，完整性影響低以及可用性影響。

3.CVEID： CVE-2020-14581

一種與2D組件相關(guān)的Oracle Java SE和Java SE Embedded中未指定的漏洞可能允許未經(jīng)身份驗(yàn)證的攻擊者使用未知攻擊媒介來竊取敏感信息，從而導(dǎo)致較低的機(jī)密性影響。

4.CVEID： CVE-2020-14579

一種Java SE中與Libraries組件相關(guān)的未指定漏洞可能允許未經(jīng)身份驗(yàn)證的攻擊者使用未知攻擊向量來拒絕服務(wù)，從而導(dǎo)致可用性影響較低。

5.CVEID： CVE-2020-14578

Java SE中與Libraries組件相關(guān)的未指定漏洞可能允許未經(jīng)身份驗(yàn)證的攻擊者拒絕服務(wù)，從而導(dǎo)致使用未知攻擊媒介的可用性降低。

6.CVEID： CVE-2020-14577

一種與JSSE組件相關(guān)的Java SE中未指定的漏洞可能允許未經(jīng)身份驗(yàn)證的攻擊者使用未知攻擊向量來獲取敏感信息，從而導(dǎo)致較低的機(jī)密性影響。

7.CVEID: CVE-2020-2590

一種與Java SE Security組件相關(guān)的Java SE中未指定的漏洞可能允許未經(jīng)身份驗(yàn)證的攻擊者不會造成機(jī)密性影響，低完整性影響以及可用性影響。

受影響的產(chǎn)品及版本：

WebSphere Application Server Liberty 持續(xù)交互版本

WebSphere Application Server 9.0

WebSphere Application Server 8.5

解決方案：

對于WebSphere Application Server Liberty：

升級到Java技術(shù)版本8 SR6 FP15的IBM SDK，請參閱IBM Java SDK for Liberty

對于傳統(tǒng)的版本9 WebSphere Application Server：

使用IBM Knowledge Center中的指示信息更新到IBM SDK Java Technology Edition版本8 Service Refresh 6 FP15 ，然后在分布式環(huán)境中安裝和更新IBM SDK Java Technology Edition，然后使用IBM Installation Manager來訪問在線產(chǎn)品存儲庫以進(jìn)行安裝SDK或使用IBM Installation Manager并從Fixcentral訪問軟件包。

對于V8.5.0.0至8.5.5.17的WebSphere Application Server傳統(tǒng)版和WebSphere Application Server Hypervisor版：

對于您使用的IBM SDK（Java技術(shù)版本），按照下面的臨時修訂中所述升級到WebSphere Application Server的最低修訂包級別，然后應(yīng)用臨時修訂：

對于IBM SDK Java Technology Edition版本7

應(yīng)用臨時修訂PH27845：將升級到IBM SDK，Java Technology Edition，版本7 Service Refresh 10 Fix Pack 70。

對于IBM SDK Java Technology Edition版本7R1

應(yīng)用臨時修訂PH27844：將升級到IBM SDK，Java Technology Edition，版本7R1 Service Refresh 4 Fix Pack 70。

對于IBM SDK Java Technology Edition版本8 SR6 FP15

應(yīng)用臨時修訂PH27842：將升級到IBM SDK，Java Technology Edition，版本8 Service Refresh 6 FP15。

對于已經(jīng)升級為使用與WebSphere Application Server Fix Pack 8.5.5.11或更高版本捆綁在一起的默認(rèn)IBM SDK版本8的環(huán)境：應(yīng)用臨時修訂PH27843：將升級到IBM SDK，Java Technology Edition，版本8 Service Refresh 6 FP15 。或者應(yīng)用WebSphere Application Server Fix Pack 18（8.5.5.18）或更高版本附帶的IBM Java SDK（目標(biāo)可用性為2020年第三季度）。

對于WebSphere Application Server的Application Client：

請遵循上面針對WebSphere Application Server的指示信息，以下載您的Application Client版本所需的臨時修訂。

三. 服務(wù)器操作系統(tǒng) IBM i

IBM服務(wù)器系列是服務(wù)器的品牌系列，IBM eServer家族目前總體來說是擁有4條產(chǎn)品線：i系列（iSeries）、p系列（pSeries）、x系列（xSeries）和z系列（zSeries）。

i系列服務(wù)器目前主要包括i800、i810、i825、i870和i890五個子系列，通常都比較高檔，最高的目前也可支持32路處理器系統(tǒng)。 IBM i使用的IBM?SDK Java?Technology Edition和IBM?Runtime Environment Java?中存在漏洞。

漏洞詳情：

1.CVEID： CVE-2019-2949

來源：https://www.ibm.com/support/pages/node/6256634

Java SE中與Kerberos組件相關(guān)的未指定漏洞可能允許未經(jīng)身份驗(yàn)證的攻擊者獲取敏感信息，從而導(dǎo)致使用未知攻擊媒介的機(jī)密性受到高度影響。

2.CVEID： CVE-2020-2654

來源：https://www.ibm.com/support/pages/node/6256052

Java SE中與Java SE Libraries組件相關(guān)的未指定漏洞可能允許未經(jīng)身份驗(yàn)證的攻擊者拒絕服務(wù)，從而導(dǎo)致使用未知攻擊媒介的可用性降低。

受影響的產(chǎn)品及版本：

IBM i 7.4

IBM i 7.3

IBM i 7.2

IBM i 7.1

解決方案：

1.可以通過將PTF應(yīng)用于IBM i操作系統(tǒng)來解決此問題。

支持并修復(fù)了IBM i的7.4、7.3、7.2和7.1版本。

2.IBM建議所有運(yùn)行不受支持版本的受影響產(chǎn)品的用戶升級到受支持產(chǎn)品的修復(fù)版本。

如果使用此產(chǎn)品隨附的IBM Java Runtime運(yùn)行自己的Java代碼，則應(yīng)評估代碼以確定其他Java漏洞是否適用于您的代碼。

查看更多漏洞信息 以及升級請?jiān)L問官網(wǎng)：

https://www.ibm.com/blogs/psirt/