首页 云计算

云安全日报201127:IBM自动化多云管理平台发现任意代码执行漏洞,需要尽快升级

IBM Cloud Automation Manager是美国IBM公司的一套多云自助服务管理平台。该平台支持在多个云中部署云基础架构,能够通过端到端自动化有效地管理和提供服务,同时使开发人员能够构建符合企业策略的应用程序。

11月26日,IBM发布了紧急安全更新,修复了IBM Cloud Automation Manager多云自助服务管理平台中发现的一些重要漏洞。以下是漏洞详情:

漏洞详情

1.CVE-2020-7720 CVSS评分:9.8 高危

来源:https://www.ibm.com/support/pages/node/6373024

Node.js node-forge模块中的一个安全漏洞会影响IBM Cloud Automation Manager。由于util.setPath函数中的原型污染缺陷,Node.js node-forge模块可能允许远程攻击者利用此漏洞,通过发送特制请求在系统上执行任意代码。

2.CVE-2020-8178 CVSS评分:9.8 高危

来源:https://www.ibm.com/support/pages/node/6373022

Node.js Jison模块中的一个安全漏洞会影响IBM Cloud Automation Manager。由于输入验证不足,Node.js jison可能允许远程攻击者利用此漏洞,通过发送特制请求在系统上执行任意命令。

3.CVE-2020-8244 CVSS评分:8.2 高

来源:https://www.ibm.com/support/pages/node/6373020

Node.js bl模块中的一个安全漏洞会影响IBM Cloud Automation Manager。Node.js bl模块可能允许远程攻击者获取敏感信息,这是由于消费函数中的缓冲区超读缺陷所致。通过发送特制的参数,攻击者可以利用此漏洞来获取敏感信息,或导致拒绝服务状况。

4.CVE-2020-7919 CVSS评分:7.5 高

来源:https://www.ibm.com/support/pages/node/6373012

GO中的一个安全漏洞会影响IBM Cloud Pak for Multicloud Management Managed Service。Go容易受到拒绝服务的攻击。通过发送格式不正确的X.509证书,远程攻击者可以利用此漏洞导致系统崩溃。

5.CVE-2020-24553 CVSS评分:7.2 高

来源:https://www.ibm.com/support/pages/node/6373028

GO中的一个安全漏洞会影响IBM Cloud Automation Manager。Golang Go容易受到跨站点脚本的攻击,这是由于CGI / FCGI处理程序对用户提供的输入进行了不正确的验证所致。远程攻击者可以利用此漏洞将恶意脚本注入网页,一旦查看该网页,该网页将在宿主网站的安全上下文内的受害者的Web浏览器中执行。攻击者可能利用此漏洞窃取受害者基于Cookie的身份验证凭据。

6.CVE-2020-7676 CVSS评分:4.4 中

来源:https://www.ibm.com/support/pages/node/6373010

angular.js中的一个安全漏洞会影响IBM Cloud Automation Manager。由于对用户提供的输入进行了不正确的验证,angular.js容易受到跨站点脚本的攻击。远程攻击者可以利用此漏洞将恶意脚本注入网页,一旦查看该网页,该网页将在宿主网站的安全上下文内的受害者的Web浏览器中执行。攻击者可能利用此漏洞窃取受害者基于Cookie的身份验证凭据。

受影响产品和版本

上述漏洞影响IBM Cloud Automation Manager 4.2.0.1版本

解决方案

下载IBM Cloud Automation Manager Version 4.2.0.1 iFix 1 Offline Installation package,安装修复补丁可修复

查看更多漏洞信息 以及升级请访问官网:

https://www.ibm.com/blogs/psirt/

官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

↑扫描二维码

想在手机上看科技资讯和科技八卦吗?

想第一时间看独家爆料和深度报道吗?

请关注TechWeb官方微信公众帐号:

1.用手机扫左侧二维码;

2.在添加朋友里,搜索关注TechWeb。

手机游戏更多