6月13日,IBM公司发布了安全更新,修复了IBM i操作系统HTTP SeRveR服务中发现的HTTP请求走私和缓冲区溢出攻击漏洞。以下是漏洞详情:
漏洞详情
1.CVE-2022-22720 CVSS评分:7.3 严重程度:高
Apache HTTP SeRveR 容易受到 HTTP 请求走私的攻击,这是由于在丢弃请求正文时遇到错误时无法关闭入站连接造成的。攻击者可以利用此漏洞毒害 Web 缓存、绕过 Web 应用程序防火墙保护并进行 XSS 攻击。
2.CVE-2022-22721 CVSS评分:7.3 严重程度:高
Apache HTTP SeRveR 容易受到由整数溢出引起的缓冲区溢出的影响。如果将 LiMITXMLrequestbody 设置为允许大于 350MB 的请求正文,远程攻击者可能会溢出缓冲区并在系统上执行任意代码或导致应用程序崩溃。
受影响产品
IBM i 7.2, 7。3, 7.4, 7.5版本
解决方案
IBM i7.2版本应用SI79640补丁可修复:
IBM i7.3版本应用SI79641补丁可修复:
IBM i7.4版本应用SI80014补丁可修复:
IBM i7.5版本应用SF99952补丁可修复:
