互联网技术 / 互联网资讯 · 2023年11月15日 0

IBM混合多云管理方案发现执行任意命令高危漏洞,紧急升级提醒

IBM Cloud Paks是IBM公司企业级的容器化软件多云解决方案,帮助客户更迅速、更安全地将核心业务应用程序迁移到任何云端。每个IBM Cloud Pak在通用集成层之上均包含用于开发和管理的容器化IBM中间件和通用软件服务,旨在将开发时间缩短高达84%,将运营费用减少高达75%。

12月14日晚,IBM发布了安全更新,修复了IBM Cloud Paks混合多云管理平台中发现的一些重要漏洞。以下是漏洞详情:

漏洞详情

1.CVE-2020-8178 CVSS评分:9.8 高危

来源:https://www.ibm.com/support/pages/node/6356103

Node.js jison中的一个安全漏洞会影响IBM Cloud Pak for Multicloud Management托管服务。由于输入验证不足,Node.js jison可能允许远程攻击者通过发送特制请求在系统上执行任意命令。

2.第三方条目:186585 CVSS评分:9.8 高危

来源:https://www.ibm.com/support/pages/node/6356101

Node.js serialize-javascript中的一个安全漏洞会影响IBM Cloud Pak for Multicloud Management托管服务。

3.CVE-2020-16845 CVSS评分:7.5 高

来源:https://www.ibm.com/support/pages/node/6350221

Go语言容易受到拒绝服务的影响,这是由于ReadUvaRint和ReadVaRint在编码/二进制中的无限读取循环引起的。通过发送特制的输入,远程攻击者可以利用此漏洞导致拒绝服务状况。

4.CVE-2020-15168 CVSS评分:7.5 高

来源:https://www.ibm.com/support/pages/node/6350659

Node.js node-fetch模块中的安全漏洞会影响IBM Cloud Pak for Multicloud Management托管服务。Node.js node-fetch模块容易受到拒绝服务的攻击,这是由于重定向后无法遵守size选项所致。通过使用特制文件,远程攻击者可以利用此漏洞消耗系统上过多的资源。

受影响产品和版本

IBM Cloud Pak for Multicloud Management 2.0

解决方案

按照https://www.ibm.com/support/knowledgecenter/zh-CN/SSFC4F_2.1.0/install/upgrade.html中的指示信息,升级到IBM Cloud Pak for Multicloud Management 2.1版本。

查看更多漏洞信息 以及升级请访问官网:

https://www.ibm.com/blogs/psirt/