云安全日报201016：IBM企业资产管理软件发现执行任意代码漏洞，需要尽快升级

IBM Maximo Asset Management是美国IBM公司的一套综合性资产生命周期和维护管理解决方案。该方案能够在一个平台上管理所有类型的资产，如设施、交通运输等，并对这些资产实现单点控制。10月15日，IBM发布安全公告，IBM Maximo 企业资产管理软件发现执行任意代码高危漏洞，需要尽快升级。以下是漏洞详情：

漏洞详情

来源：

https://www.ibm.com/support/pages/node/6348628

Jackson 是基于Java平台的一套主要用于处理java json的数据处理工具。

Jackson Core中的多个漏洞影响IBM Maximo Asset Management。

1.CVEID：CVE-2017-15095 CVSS评分： 9.8 高危

Jackson JSON库可能允许远程攻击者在系统上执行任意代码，这是由ObjectMapper的readValue（）方法中的反序列化缺陷引起的。通过发送特制数据，攻击者可以利用此漏洞在系统上执行任意代码。

2.CVEID：CVE-2017-17485 CVSS评分： 9.8 高危

由于默认键入功能的缺陷，Jackson-databind可能允许远程攻击者在系统上执行任意代码。攻击者可能利用此漏洞在系统上执行任意代码。

3.CVEID：CVE-2017-7525 CVSS评分： 9.8 高危

Apache Struts可能允许远程攻击者在系统上执行任意代码，这是由ObjectMapper的readValue方法中Jackson JSON库中的反序列化漏洞引起的。通过发送特制请求，攻击者可以利用此漏洞在系统上执行任意代码。

4.CVEID：CVE-2016-7051 CVSS评分：5.3 中

jackson -dataformat -xml容易受到服务器端请求伪造的影响，这是由XmlMapper中的缺陷引起的。通过使用与DTD相关的媒介，攻击者可以利用此漏洞进行SSRF攻击(Server-side Request Forge, 服务端请求伪造,由攻击者构造的攻击链接传给服务端执行造成的漏洞，一般用来在外网探测或攻击内网服务)。

受影响产品和版本

此漏洞影响以下版本的IBM Maximo Asset Management核心产品。建议的操作是更新到最新版本。

Maximo Asset Management核心产品版本受到影响：

IBM Maximo Asset Management 7.6.0, 7.6.1

如果使用受影响的核心版本，以下行业产品会受到影响：

Maximo for Aviation

Maximo for Life Sciences

Maximo for Nuclear Power

Maximo for Oil and Gas

Maximo for Transportation

Maximo for Utilities

如果使用受影响的核心版本，将会影响IBM控台产品：

SmartCloud Control Desk

IBM Control Desk

Tivoli Integration Composer

解决方案

对于Maximo Asset Management 7.6：

升级 Maximo Asset Management 7.6.1.2功能包：7.6.1.2-TIV-MAMMT-FP002或最新的临时修订可用

推荐的解决方案是从Fix Central下载适当的Interim Fix或Fix Pack，并尽快申请每个受影响的产品。

查看更多漏洞信息 以及升级请访问官网：

https://www.ibm.com/blogs/psirt/