Cloud Security Daily 200821:IBM DB2和Cloud CLI发现了高风险漏洞,这些漏洞可以窃取关键数据,需要尽快进行升级
时间:
根据IBM 8月20日的安全公告,IBM产品已经暴露了高风险漏洞,需要尽快进行升级。以下是此漏洞的详细信息:1. IBM DB2 IBM DB2是由IBM在美国开发的关系数据库管理系统。
它的主要操作环境是UNIX(包括IBM自己的AIX),Linux,IBM i(以前称为OS / 400),z / OS和Windows服务器版本。用于Linux,UNIX和Windows的IBM DB2(包括DB2 Connect服务器)可能会由于不当使用共享内存而使本地攻击者对系统执行未经授权的操作。
通过发送特制请求,攻击者可以利用此漏洞获取敏感信息或导致拒绝服务。漏洞详细信息来源:https://www.ibm.com/support/pages/node/6242356CVEID:CVE-2020-4414CSS得分:5.1中级攻击者可以使用此漏洞读取/写入对共享内存的访问并在目标上访问它系统进行未经授权的操作。
存在此漏洞是因为开发人员忽略了在DB2跟踪工具使用的共享内存周围添加显式内存保护。这样,任何本地用户都可以对存储区域进行读写访问。
反过来,这允许访问关键的敏感数据以及更改跟踪子系统的功能的能力,从而导致数据库中服务条件的拒绝。此漏洞可能会引起其他问题,例如,与DB2数据库在同一台计算机上运行的低特权进程。
攻击者还可能更改DB2跟踪并捕获敏感数据,这些敏感数据以后可用于后续攻击中。 Windows平台上受影响的产品和版本上的IBM Db2 V9.7,V10.1,V10.5,V11.1和V11.5的所有修订包级别均受到影响。
解决方案运行受影响程序的任何易受攻击的修订包级别的客户都可以从官方的IBM Fix Central下载包含此问题的临时修订的特殊版本。根据每个受影响版本的最新修订包级别,可以使用以下特殊版本:V9.7 FP11,V10.1 FP6,V10.5 FP11、11.1 FP5和V11.5 GA。
可以将它们应用于适当版本的任何受影响的修订包级别,以修复此漏洞。 2. IBM Cloud CLI IBM Cloud CLI是IBM Cloud的命令行工具,可用于创建,开发和部署Web,移动和微服务应用程序。
在IBM部署服务中发现了Golang中的一个漏洞(通常称为Go,它被设计为用于配备Web服务器,存储集群或类似目的的大型中央服务器的系统编程语言)。在某些情况下,它可能允许攻击者绕过安全性限制。
漏洞详细信息来源:https://www.ibm.com/support/pages/node/62629851。 CVEID:CVE-2020-15586 CSS得分:7.5由于某些net / http服务器中的数据而导致的高风险争用,Golang Go容易受到拒绝服务攻击。
通过发送特制的HTTP请求,远程攻击者可以利用此漏洞导致拒绝服务。 2. CVEID:CVE-2020-14039 CSS得分:5.3中级Go可能允许远程攻击者绕过安全限制。
这是由于X.509证书验证过程中对VerifyOptions.KeyUsages EKU要求的验证不正确引起的。攻击者可以利用此漏洞来访问系统。
受影响的产品和版本IBM Cloud CLI 1.1.0或更早版本解决方案可以修复IBM Cloud CLI升级到1.2.0或更高版本的问题。有关更多漏洞信息和升级,请访问官方网站:https://www.ibm .com / blogs / psirt /。
产品资料
行业信息
