IBM Cloud Paks是IBM公司企业级的容器化软件多云解决方案,帮助客户更迅速、更安全地将核心业务应用程序迁移到任何云端。每个IBM Cloud Pak在通用集成层之上均包含用于开发和管理的容器化IBM中间件和通用软件服务,旨在将开发时间缩短高达84%,将运营费用减少高达75%。
12月14日晚,IBM发布了安全更新,修复了IBM Cloud Paks混合多云管理平台中发现的一些重要漏洞。以下是漏洞详情:
漏洞详情
1.CVE-2020-8178 CVSS评分:9.8 高危
来源:https://www.ibm.com/support/pages/node/6356103
Node.js jison中的一个安全漏洞会影响IBM Cloud Pak for Multicloud Management托管服务。由于输入验证不足,Node.js jison可能允许远程攻击者通过发送特制请求在系统上执行任意命令。
2.第三方条目:186585 CVSS评分:9.8 高危
来源:https://www.ibm.com/support/pages/node/6356101
Node.js serialize-javascript中的一个安全漏洞会影响IBM Cloud Pak for Multicloud Management托管服务。
3.CVE-2020-16845 CVSS评分:7.5 高
来源:https://www.ibm.com/support/pages/node/6350221
Go语言容易受到拒绝服务的影响,这是由于ReadUvaRint和ReadVaRint在编码/二进制中的无限读取循环引起的。通过发送特制的输入,远程攻击者可以利用此漏洞导致拒绝服务状况。
4.CVE-2020-15168 CVSS评分:7.5 高
来源:https://www.ibm.com/support/pages/node/6350659
Node.js node-fetch模块中的安全漏洞会影响IBM Cloud Pak for Multicloud Management托管服务。Node.js node-fetch模块容易受到拒绝服务的攻击,这是由于重定向后无法遵守size选项所致。通过使用特制文件,远程攻击者可以利用此漏洞消耗系统上过多的资源。
受影响产品和版本
IBM Cloud Pak for Multicloud Management 2.0
解决方案
按照https://www.ibm.com/support/knowledgecenter/zh-CN/SSFC4F_2.1.0/install/upgrade.html中的指示信息,升级到IBM Cloud Pak for Multicloud Management 2.1版本。
查看更多漏洞信息 以及升级请访问官网:
https://www.ibm.com/blogs/psirt/