IBM Cloud Private是IBM公司一個變革性的私有云平臺,可從受防火墻保護的數(shù)據(jù)中心的安全性中提供公共云的優(yōu)勢。它是一個基于Kubernetes的容器架構構建的集成云平臺,旨在幫助快速創(chuàng)建新的云原生應用程序,并在客戶端控制的,高度安全的環(huán)境中現(xiàn)代化現(xiàn)有工作負載。IBM Cloud Private允許開發(fā)人員使用內(nèi)置的開發(fā)工具和服務,同時使運營團隊可以訪問企業(yè)級管理工具,以幫助保持平臺的安全性和最新性。
不過,9月26日IBM發(fā)布了安全公告更新,IBM Cloud Private爆出重要漏洞,需要盡快升級。以下是漏洞詳情:
漏洞詳情
1.第三方條目: 183560CVSS評分: 7.5 高
由于Node.js lodash(lodash是一個一致性、模塊化、高性能的 JavaScript 實用工具庫)工具庫中存在拒絕服務漏洞,IBM Cloud Private容易受到Node.js lodash漏洞的攻擊。
受影響產(chǎn)品和版本
IBM Cloud Private 3.2.1 持續(xù)交付(CD)版本
IBM Cloud Private 3.2.2 持續(xù)交付(CD)版本
解決方案
對于IBM Cloud Private 3.2.1,應用八月修訂包:
IBM Cloud Private 3.2.1.2008
對于IBM Cloud Private 3.2.2,應用八月修訂包:
IBM Cloud Private 3.2.2.2008
對于IBM Cloud Private 3.1.0、3.1.1、3.1.2、3.2.0:
升級到最新的持續(xù)交付(CD)更新軟件包,IBM Cloud Private 3.2.2。
如果需要,可以在CD更新包之間提供單個產(chǎn)品修復程序,以解決問題。聯(lián)系IBM支持以獲取幫助
2. CVEID: CVE-2019-1547CVSS評分: 5.5 中
在計算機網(wǎng)絡上,OpenSSL是一個開放源代碼的軟件庫包,應用程序可以使用這個包來進行安全通信,避免竊聽,同時確認另一端連接者的身份。這個包廣泛被應用在互聯(lián)網(wǎng)的網(wǎng)頁服務器上。
在OpenSSL EC組中,通常總是存在一個輔助因子,并且該輔助因子用于抗側(cè)通道的代碼路徑中。但是,在某些情況下,可以使用顯式參數(shù)(而不是使用命名曲線)來構造組。在那些情況下,這樣的基團可能不存在輔因子。即使所有參數(shù)都匹配已知的命名曲線,也會發(fā)生這種情況。如果使用這樣的曲線,則OpenSSL會退回到非旁通道抗性代碼路徑,這可能會導致ECDSA簽名操作期間的完全密鑰恢復。這些安全漏洞會影響IBM Cloud Private-OpenSSL
3. CVEID: CVE-2019-1549CVSS評分: 3.7 中低
OpenSSL 1.1.1引入了重寫的隨機數(shù)生成器(RNG)。旨在在fork()系統(tǒng)調(diào)用時提供保護,以確保父進程和子進程不會共享相同的RNG狀態(tài)。但是,默認情況下未使用此保護,存在的安全漏洞會影響IBM Cloud Private-OpenSSL。此問題的部分緩解措施是,高精度計時器的輸出被混入RNG狀態(tài),因此父子進程共享狀態(tài)的可能性大大降低。如果應用程序已經(jīng)使用OPENSSL_INIT_ATFORK顯式調(diào)用OPENSSL_init_crypto(),則根本不會發(fā)生此問題。
4.CVEID: CVE-2019-1563CVSS評分: 3.7 中低
在攻擊者收到解密嘗試成功或失敗的自動通知的情況下,攻擊者在發(fā)送大量要解密的消息后,可以恢復CMS / PKCS7傳輸?shù)募用苊荑€或使用Bleichenbacher填充oracle攻擊解密使用公共RSA密鑰加密的任何RSA加密消息。這些安全漏洞會影響IBM Cloud Private-OpenSSL。如果應用程序使用證書以及CMS_decrypt或PKCS7_decrypt函數(shù)的RSA私鑰來選擇要解密的正確收件人信息,則應用程序不會受到影響。
受影響的產(chǎn)品和版本
IBM Cloud Private 3.2.0 持續(xù)交付(CD)版本
IBM Cloud Private 3.2.1 持續(xù)交付(CD)版本
解決方案
對于IBM Cloud Private 3.2.0,請應用11月修訂包:
IBM Cloud Private 3.2.0.1911修訂包
對于IBM Cloud Private 3.2.1,請應用11月修訂包:
IBM Cloud Private 3.2.1.1911修訂包
更新以包括針對Logging和Mongodb的其他修復
對于IBM Cloud Private 3.2.1,請應用八月修訂包:
IBM Cloud Private 3.2.1.2008修訂包
對于IBM Cloud Private 3.2.2,應用八月修訂包:
IBM Cloud Private 3.2.2.2008修訂包
查看更多漏洞信息 以及升級請訪問官網(wǎng):
https://www.ibm.com/blogs/psirt/
