首页 云计算

云安全日报200908:IBM云虚拟化平台发现高危漏洞,需要尽快升级

PowerVM NovaLink(以下简称NovaLink)是IBM公司在PowerVM服务器上用于虚拟化管理的软件。NovaLink支持高度可扩展的现代云管理和关键企业工作负载的部署。NovaLink可以在PowerVM服务器上快速配置大量虚拟机,简化了新系统的部署,降低复杂性并提高服务器管理基础架构的安全性。

不过根据9月7日IBM安全公告显示,该管理软件爆出高危漏洞,需要尽快升级。以下是漏洞详情:

漏洞详情

1.CVEID: CVE-2019-4720  CVSS评分:7.5 高

来源:

https://www.ibm.com/support/pages/node/6327175

IBM WebSphere Application Server Liberty是IBM公司的一款构建于Open Liberty(Open Liberty 是一个高模块化、快速和高动态性的应用服务器运行时环境)项目之上的Java应用程序服务器。Novalink使用WebSphere Application Server Liberty。 IBM WebSphere Application Server 7.0、8.0、8.5和9.0容易因发送特制请求而导致拒绝服务。远程攻击者可能利用此漏洞导致服务器消耗所有可用内存。

2.CVEID: CVE-2019-4732  CVSS评分:7.2 高

来源:

https://www.ibm.com/support/pages/node/6327187

Novalink使用IBM Java SDK / JRE。IBM Java SDK / JRE中存在一个公开披露的漏洞。IBM SDK,Java技术版本7.0.0.0至7.0.10.55、7.1.0.0至7.1.4.55和8.0.0.0至8.0.6.0可允许经过本地身份验证的攻击者在系统上执行任意代码。该漏洞是由于Microsoft Windows客户端中的DLL搜索顺序劫持漏洞引起的。通过将特制文件放在受感染的文件夹中,攻击者可以利用此漏洞在系统上执行任意代码。

3.CVEID: CVE-2019-17573  CVSS评分:6.1 中

来源:

https://www.ibm.com/support/pages/node/6327191

Novalink使用WebSphere Application Server Liberty。WebSphere Application Server Liberty中存在一个影响WebSphere Liberty JAX-WS中间漏洞的Apache CXF(Web服务框架)。由于服务列表页面对用户提供的输入进行了不正确的验证,Apache CXF容易受到跨站点脚本的攻击。一旦点击URL,远程攻击者便可以使用特制URL利用此漏洞在宿主Web站点的安全上下文内的受害者的Web浏览器中执行脚本。攻击者可能利用此漏洞窃取受害者基于Cookie的身份验证凭据。

4.CVEID: CVE-2019-12406  CVSS评分:5.3 中

来源:

https://www.ibm.com/support/pages/node/6327189

Novalink使用WebSphere Application Server Liberty。WebSphere Application Server Liberty中有Apache CXF影响中间漏洞。 Apache CXF容易受到拒绝服务的攻击,这是由于未能限制给定消息中存在的消息附件的数量引起的。通过发送包含过多消息附件的特制消息,远程攻击者可以利用此漏洞导致拒绝服务。

受影响产品和版本

上述漏洞影响NovaLink 1.0.0.13 和1.0.0.15版本

解决方案

升级到Novalink版本1.0.0.16可修复

 

查看更多漏洞信息 以及升级请访问官网:

https://www.ibm.com/blogs/psirt/

官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

↑扫描二维码

想在手机上看科技资讯和科技八卦吗?

想第一时间看独家爆料和深度报道吗?

请关注TechWeb官方微信公众帐号:

1.用手机扫左侧二维码;

2.在添加朋友里,搜索关注TechWeb。

手机游戏更多