根據(jù)IBM 8月20日安全公告顯示，IBM產(chǎn)品爆出高危漏洞，需要盡快升級。以下是漏洞詳情：

一.IBM DB2

IBM DB2 是美國IBM公司開發(fā)的一套關(guān)系型數(shù)據(jù)庫管理系統(tǒng)，它主要的運(yùn)行環(huán)境為UNIX（包括IBM自家的AIX）、Linux、IBM i（舊稱OS/400）、z/OS，以及Windows服務(wù)器版本。適用于Linux，UNIX和Windows的IBM DB2（包括DB2 Connect服務(wù)器）可能允許本地攻擊者由于共享內(nèi)存使用不當(dāng)而對系統(tǒng)執(zhí)行未經(jīng)授權(quán)的操作。通過發(fā)送特制請求，攻擊者可以利用此漏洞來獲取敏感信息或?qū)е戮芙^服務(wù)。

漏洞詳情

來源：

https://www.ibm.com/support/pages/node/6242356

CVEID： CVE-2020-4414

CSS評分：5.1 中級

攻擊者可以利用該漏洞對共享內(nèi)存進(jìn)行讀/寫訪問，并在目標(biāo)系統(tǒng)上執(zhí)行未經(jīng)授權(quán)的操作。 之所以存在此漏洞是因為開發(fā)人員忽略了在DB2 跟蹤工具使用的共享內(nèi)存周圍添加顯式內(nèi)存保護(hù)。這樣，任何本地用戶都可以對該存儲區(qū)進(jìn)行讀寫訪問。反過來，這允許訪問關(guān)鍵敏感數(shù)據(jù)以及更改跟蹤子系統(tǒng)功能的能力，從而導(dǎo)致數(shù)據(jù)庫中的服務(wù)條件被拒絕。 此漏洞可能導(dǎo)致其他問題-例如，與DB2 數(shù)據(jù)庫在同一臺計算機(jī)上運(yùn)行的低特權(quán)進(jìn)程。攻擊者還可能更改DB2 跟蹤并捕獲敏感數(shù)據(jù)，這些數(shù)據(jù)稍后可用于后續(xù)攻擊。

受影響的產(chǎn)品和版本

Windows平臺上的IBM Db2 V9.7，V10.1，V10.5，V11.1和V11.5版本的所有修訂包級別均受到影響。

解決方案

運(yùn)行受影響程序的任何易受攻擊的修訂包級別的客戶都可以從IBM官方 Fix Central下載包含此問題的臨時修訂的特殊版本。根據(jù)每個受影響的發(fā)行版的最新修訂包級別，可以提供這些特殊版本：V9.7 FP11，V10.1 FP6，V10.5 FP11、11.1 FP5和V11.5 GA。它們可以應(yīng)用于適當(dāng)版本的任何受影響的修訂包級別，以修復(fù)此漏洞。

二.IBM Cloud CLI

IBM Cloud CLI 是IBM Cloud的一個命令行工具，可用于創(chuàng)建、開發(fā)和部署 Web、移動和微服務(wù)應(yīng)用程序。

在IBM 部署服務(wù)中發(fā)現(xiàn)了Golang(一般簡稱Go,Go 語言被設(shè)計成一門應(yīng)用于搭載 Web 服務(wù)器，存儲集群或類似用途的巨型中央服務(wù)器的系統(tǒng)編程語言)漏洞，在某些情況下，它可能允許攻擊者繞過安全限制.

漏洞詳情

來源：

https://www.ibm.com/support/pages/node/6262985

1.CVEID： CVE-2020-15586

CSS評分：7.5 高危

由于某些net / http服務(wù)器中的數(shù)據(jù)爭用，Golang Go容易受到拒絕服務(wù)的攻擊。通過發(fā)送特制的HTTP請求，遠(yuǎn)程攻擊者可以利用此漏洞導(dǎo)致拒絕服務(wù)狀況。

2.CVEID： CVE-2020-14039

CSS評分：5.3 中級

Go可能會讓遠(yuǎn)程攻擊者繞過安全性限制，這是由X.509證書驗證期間對VerifyOptions.KeyUsages EKU要求進(jìn)行的不正確驗證所引起的。攻擊者可以利用此漏洞來訪問系統(tǒng)。

受影響的產(chǎn)品和版本

IBM Cloud CLI 1.1.0或更早版本

解決方案

IBM Cloud CLI升級到1.2.0或更高版本可修復(fù)

查看更多漏洞信息 以及升級請訪問官網(wǎng)：

https://www.ibm.com/blogs/psirt/