云安全日报200918：IBM云部署服务器应用发现信息泄露漏洞，需要

IBM WebSphere Application Server（WAS）是美国IBM公司的一款集优化、创建并连接内部部署和云端部署的应用产品。该产品是JavaEE和Web服务应用程序的平台，也是IBM WebSphere软件平台的基础。不过根据9月17日IBM安全公告显示，该产品爆出重要漏洞，需要尽快升级。以下是漏洞详情：

漏洞详情

CVEID：CVE-2020-4643 CVSS评分：7.5 高

来源：

https://www.ibm.com/support/pages/node/6334311

WebSphere Application Server容易受到信息泄露漏洞的攻击。在处理XML数据时，IBM WebSphere Application Server容易受到XML外部实体注入（XXE）攻击。

外部实体注入（XXE）攻击

XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量，可以内部声明或外部引用。XML外部实体注入（XXE），通过DTD外部实体声明，输入恶意代码，进行攻击。攻击者利用此漏洞可以读取任意文件，执行系统命令，攻击内网网站等。

受影响产品和版本

此漏洞影响WebSphere Application Server 9.0 , 8.5 , 8.0 , 7.0 版本

解决方案

对于传统的WebSphere Application Server和WebSphere Application Server Hypervisor Edition：

对于V9.0.0.0到9.0.5.5：

根据临时修订要求升级到最低修订包级别，然后应用临时修订PH27509或应用修订包9.0.5.6或更高版本（目标可用性4Q2020）。

对于V8.5.0.0到8.5.5.17：

根据临时修订要求升级到最低修订包级别，然后应用临时修订 PH27509-

或应用修订包8.5.5.19或更高版本（目标可用性1Q2021）。

对于V8.0.0.0到8.0.0.15：

升级到8.0.0.15，然后应用Interim Fix PH27509

对于V7.0.0.0到7.0.0.45：

升级到7.0.0.45，然后应用临时修订PH27509

这里需要注意的是：WebSphere Application Server V7.0和V8.0不再完全受支持。IBM建议升级到该产品的受支持的修复版本/发行版/平台。

查看更多漏洞信息 以及升级请访问官网：

https://www.ibm.com/blogs/psirt/