云安全日报220322：IBM云原生数据和AI平台发现执行任意代码漏洞,需要尽快升级

IBM Watson Knowledge Catalog in Cloud Pak for Data是美国IBM公司的一个云原生数据和AI平台。通过IBM Cloud Pak® for Data上的预集成服务，解决企业团队中最重要的业务优先事项，并加快实现价值。

3月21日,IBM发布了安全更新,修复了IBM云原生数据和AI平台中发现的执行任意代码重要漏洞。以下是漏洞详情：

漏洞详情

来源: https://www.ibm.com/support/pages/node/6537024

CVE-2021-44228 CVSS评分：10 严重程度:严重

Apache Log4j 可能允许远程攻击者在系统上执行任意代码，这是由于无法通过 JNDI 功能防止攻击者控制的 LDAP 和其他与 JNDI 相关的端点。通过发送特制的代码字符串，攻击者可以利用此漏洞在服务器上加载任意 Java 代码并完全控制系统。

受影响产品和版本

上述漏洞影响部署了IBM Watson Knowledge Catalog in Cloud Pak for Data 4.0 (all previous refreshes)以及3.5.7 and previous refreshes

解决方案

IBM Watson Knowledge Catalog in Cloud Pak for Data 4.0之前版本：

升级 Watson Knowledge Catalog 4.0.4 (Refresh 4) 或更高版本可修复

IBM Watson Knowledge Catalog in Cloud Pak for Data 3.5.7 之前版本：

升级 Watson Knowledge Catalog 3.5.8 (Refresh 11) 或更高版本或更高版本可修复

查看更多漏洞信息 以及升级请访问官网：

https://www.ibm.com/blogs/psirt/