云安全日报200908:IBM云虚拟化平台发现高危漏洞,需要尽快升级
PowerVM NovaLink(以下简称NovaLink)是IBM公司在PowerVM服务器上用于虚拟化管理的软件。NovaLink支持高度可扩展的现代云管理和关键企业工作负载的部署。NovaLink可以在PowerVM服务器上快速配置大量虚拟机,简化了新系统的部署,降低复杂性并提高服务器管理基础架构的安全性。
不过根据9月7日IBM安全公告显示,该管理软件爆出高危漏洞,需要尽快升级。以下是漏洞详情:
漏洞详情
1.CVEID: CVE-2019-4720 CSS评分:7.5 高
来源:
https://www.ibm.com/support/pages/node/6327175
IBM WebSphere Application Server Liberty是IBM公司的一款构建于Open Liberty(Open Liberty 是一个高模块化、快速和高动态性的应用服务器运行时环境)项目之上的Java应用程序服务器。Novalink使用WebSphere Application Server Liberty。 IBM WebSphere Application Server 7.0、8.0、8.5和9.0容易因发送特制请求而导致拒绝服务。远程攻击者可能利用此漏洞导致服务器消耗所有可用内存。
2.CVEID: CVE-2019-4732 CSS评分:7.2 高
来源:
https://www.ibm.com/support/pages/node/6327187
Novalink使用IBM Java SDK / JRE。IBM Java SDK / JRE中存在一个公开披露的漏洞。IBM SDK,Java技术版本7.0.0.0至7.0.10.55、7.1.0.0至7.1.4.55和8.0.0.0至8.0.6.0可允许经过本地身份验证的攻击者在系统上执行任意代码。该漏洞是由于Microsoft Windows客户端中的DLL搜索顺序劫持漏洞引起的。通过将特制文件放在受感染的文件夹中,攻击者可以利用此漏洞在系统上执行任意代码。
3.CVEID: CVE-2019-17573 CSS评分:6.1 中
来源:
https://www.ibm.com/support/pages/node/6327191
Novalink使用WebSphere Application Server Liberty。WebSphere Application Server Liberty中存在一个影响WebSphere Liberty JAX-WS中间漏洞的Apache CXF(Web服务框架)。由于服务列表页面对用户提供的输入进行了不正确的验证,Apache CXF容易受到跨站点脚本的攻击。一旦点击URL,远程攻击者便可以使用特制URL利用此漏洞在宿主Web站点的安全上下文内的受害者的Web浏览器中执行脚本。攻击者可能利用此漏洞窃取受害者基于Cookie的身份验证凭据。
4.CVEID: CVE-2019-12406 CSS评分:5.3 中
来源:
https://www.ibm.com/support/pages/node/6327189
Novalink使用WebSphere Application Server Liberty。WebSphere Application Server Liberty中有Apache CXF影响中间漏洞。 Apache CXF容易受到拒绝服务的攻击,这是由于未能限制给定消息中存在的消息附件的数量引起的。通过发送包含过多消息附件的特制消息,远程攻击者可以利用此漏洞导致拒绝服务。
受影响产品和版本
上述漏洞影响NovaLink 1.0.0.13 和1.0.0.15版本
解决方案
升级到Novalink版本1.0.0.16可修复
查看更多漏洞信息 以及升级请访问官网:
https://www.ibm.com/blogs/psirt/