IBM MQ(IBM WebSphere MQ)是美国IBM公司的一款消息传递中间件产品,可以快速地在应用、系统和服务之间传递消息数据,主要为面向服务的体系结构(SOA)提供可靠的、经过验证的消息传递主干网。
12月23日,IBM发布了安全更新,修复了IBM MQ消息中间件中发现的重要漏洞。以下是漏洞详情:
漏洞详情
CVE-2019-17638 CVSS评分:9.4 高危
该漏洞主要是与IBM MQ Explorer捆绑在一起的Eclipse Jetty导致的。Jenkins中捆绑的Eclipse Jetty可能允许远程攻击者获取敏感信息,这是由于HTTP响应缓冲区损坏发送到不同的客户端引起的。通过发送特制的HTTP请求,攻击者可以利用此漏洞获取敏感信息,然后使用此信息对受影响的系统发起进一步的攻击。
受影响产品和版本
IBM MQ 9.2 CD
IBM MQ 9.2 LTS
解决方案
对于IBM MQ 9.2 LTS:
应用9.2.0.1修订包可修复
对于IBM MQ 9.2 CD:
升级至IBM MQ 9.2.1可修复
查看更多漏洞信息 以及升级请访问官网:
(图片)
