IBM是全球最大的信息技術和業務解決方案公司,其全球能力包括服務、軟件、硬件系統、研發及相關融資支持。IBM始終以超前的技術、出色的管理和獨樹一幟的產品領導著信息產業的發展,保證了世界范圍內幾乎所有行業用戶對信息處理的全方位需求。
不過IBM于7月31日發布了安全公告,IBM 旗下多款產品存在大量漏洞,或嚴重影響銀行等金融機構。以下是漏洞詳情:
一.金融事務管理器(FTM HVP)
IBM Financial Transaction Manager for High Value Payments for Multi-Platform(FTM HVP)是美國IBM公司的一款適用于多平臺的金融事務管理器。該產品主要用于銀行等金融機構來監控、跟蹤和報告金融支付和交易。
漏洞詳情
1.跨站腳本漏洞(CVE-2020-4560)
IBM Financial Transaction Manager 3.2.4容易受到跨站點腳本的攻擊。此漏洞允許用戶在Web UI中嵌入任意JavaScript代碼,從而改變預期的功能,從而可能導致可信會話中的憑據泄露。
2.SQL注入漏洞(CVE-2020-4328)
IBM Financial Transaction Manager 3.2.4容易受到SQL注入的攻擊。遠程攻擊者可以發送特制的SQL語句,這可能使攻擊者可以查看,添加,修改或刪除后端數據庫中的信息。
漏洞修復
FTM HVP升級至: 3.2.4.0-FTM-HVP-MP-iFix0001 可修復上述兩個漏洞
二.應用服務器WAS
IBM WebSphere Application Server(WAS)是美國IBM公司的一款應用服務器產品。該產品是JavaEE和Web服務應用程序的平臺,也是IBMWebSphere軟件平臺的基礎。IBM WAS中存在安全漏洞。
漏洞詳情
遠程攻擊漏洞(CVE-2020-4534)
IBM WAS可能允許本地經過身份驗證的攻擊者獲得由于對UNC路徑的不正確處理而導致的系統特權提升。通過使用特制的UNC路徑調度任務,攻擊者可以利用此漏洞執行具有更高特權的任意代碼。
受到影響產品及版本:
IBM WAS 9.0版本,8.5版本,8.0版本, 7.0版本。
漏洞修復
對于傳統的WebSphere Application Server和WebSphere Application Server Hypervisor Edition:
對于V9.0.0.0到9.0.5.4:·
根據臨時修訂要求升級到最低修訂包級別,然后應用臨時修訂PH26083-
或應用修訂包9.0.5.5或更高版本(目標可用性為3Q2020)。
對于V8.5.0.0到8.5.5.17:
根據臨時修訂要求升級到最低修訂包級別,然后應用臨時修訂PH26083-
或應用修訂包8.5.5.18或更高版本(目標可用性3Q2020)。
對于V8.0.0.0到8.0.0.15:升級到8.0.0.15,然后應用臨時修訂PH26083
對于V7.0.0.0到7.0.0.45:升級到7.0.0.45,然后應用臨時修訂PH26083
三. i2 Analysts Notebook數據可視化分析工具
IBM i2 Analysts Notebook是美國IBM公司的一款數據可視化分析工具。該產品支持數據存儲和數據分析等功能。
1.內存損壞漏洞(CVE-2020-4549/CVE-2020-4550/CVE-2020-4551/CVE-2020-4552/CVE-2020-4553/CVE-2020-4554)
IBM i2 Analyst的Notebook可能允許本地攻擊者在系統上執行由內存損壞引起的任意代碼。通過誘使受害者打開特制文件,攻擊者可以利用此漏洞在系統上執行任意代碼。
受影響產品及版本:
IBM i2 Analyst的Notebook 9.2.1
IBM i2 Analyst的Notebook Premium 9.2.1
漏洞修復
在線升級到最新程序包可修復此漏洞
四.Cognos Analytics商業智能軟件
IBM Cognos Analytics是美國IBM公司的一套商業智能軟件。該軟件包括報表、儀表板和記分卡等,并可通過分析關鍵因素與關鍵人等內容,協助企業調整決策。
IBM Cognos Analytics中jQuery UI容易受到跨站點腳本的攻擊,這是由用戶提供的輸入的不正確驗證引起的。一旦單擊URL,遠程攻擊者便可以使用特制URL中的title參數利用此漏洞在宿主Web站點的安全上下文中在受害者的Web瀏覽器中執行腳本。攻擊者可能利用此漏洞竊取受害者基于Cookie的身份驗證憑據。
漏洞詳情
1.特權升級漏洞(CVE-2019-4589)
IBM Cognos Analytics容易受到特權升級的影響,在該特權升級中,“我的日程安排和訂閱”頁面可見,并且特權較低的用戶可以訪問該頁面。
2. 信息泄露漏洞(CVE-2019-4366)
IBM Cognos Analytics容易受到信息泄露漏洞的攻擊,攻擊者可能會利用該漏洞訪問緩存的瀏覽器數據。
3.XML注入漏洞(CVE-2020-4377)
IBM Cognos Anaytics在處理XML數據時容易受到XML外部實體注入(XXE)攻擊。遠程攻擊者可能利用此漏洞來泄露敏感信息或消耗內存資源。
受影響產品及版本:
IBM Cognos Analytics 11.1
IBM Cognos Analytics 11.0(11.0.13 FP2之前的版本)
漏洞修復
對于IBM Cognos Analytics 11.1.x:
推薦的解決方案是盡快對列出的版本應用此修復程序。
下載IBM Cognos Analytics 11.1.7.0
對于IBM Cognos Analytics 11.0.x:
IBM Cognos Analytics 11.0.x僅易受CVE-2016-7103的攻擊,這僅適用于IBM Cognos Analytics 11.0.13 FP2之前的版本。
推薦的解決方案是應用IBM Cognos Analytics 11.0.x的最新可用版本。
IBM Cognos Analytics 11.0.13修訂包3
