云安全日报200901:IBM主动故障管理系统发现高危

利来国际最给利的老牌 2020-09-01 16:10 阅读:74

  IBM Operationas Analytics Predictive Insights是美国IBM公司的一套主动故障管理系统。该系统能够监测物理和逻辑基础设备的性能,并在发生故障时发出警报。

  不过根据8月31日IBM安全公告显示,该主动故障管理系统爆出高危漏洞,需要尽快升级,以下是漏洞详情:

  漏洞详情

  来源:

  https://www.ibm.com/suPPort/pages/node/6324679

  IBM Operations Analytics Predictive Insights使用Faster-XML Jackson-databind(FasterXMLjackson-databind是一个简单基于Java应用库,Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象)(公开的漏洞)。不过值得注意的是,在IBM Operations Analytics Predictive Insights中使用Jackson-databind仅限于REST(Representational State Transfer,是一种针对网络应用的设计和开发方式,可以降低开发的复杂性,提高系统的可伸缩性)中介实用程序。如果您没有安装此服务,则不受此公告的影响。

  1.CVEID: CVE-2020-10969 CSS评分:9.8 高危

  FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码,这是由javax.swing.JEditorPane中不安全的反序列化引起的。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。

  2.CVEID: CVE-2020-11619 CSS评分:9.8 高危

  FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码,这是由org.springframework.aop.config.MethodLocatingFactoryBean(又称为spring-aop)中不安全的反序列化引起的。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。

  3.CVEID: CVE-2020-11111 CSS评分:9.8 高危

  由于org.apache.activemq。*(又名activemq-jms,activemq-core,activemq-pool和activemq-pool-jms)中的不安全反序列化,FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码)。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。

  4.CVEID: CVE-2020-11620 CSS评分:9.8 高危

  由于org.apache.commons.jelly.impl.Embedded(又名commons-jelly)中的不安全反序列化,FasterXML Jackson-databind可能允许远程攻击者在系统上执行任意代码。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。

  5.CVEID: CVE-2020-10672 CSS评分:9.8 高危

  由于org.apache.aries.transaction.jms.internal.XaPoOLEDConnectionFactory(aka aries.transaction.jms)中的不安全反序列化,FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。

  6.CVEID: CVE-2020-11112 CSS评分:9.8 高危

  由于org.apache.commons.proxy.provider.remoting.RmiProvider(aka apache / commons-proxy)中不安全的反序列化,FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。

  7.CVEID: CVE-2020-10673 CSS评分:9.8 高危

  由于com.caucho.config.types.ResourceRef(aka caucho-quercus)中的不安全反序列化,FasterXML Jackson-databind可能允许远程攻击者在系统上执行任意代码。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。

  8.CVEID: CVE-2020-10968 CSS评分:9.8 高危

  由于org.aoju.bus.proxy.provider.remoting.RmiProvider(aka bus-proxy)中不安全的反序列化,FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。

  9.CVEID: CVE-2020-11113 CSS评分:9.8 高危

  由于org.apache.openjpa.ee.WASRegistryManagedRuntime(aka openjpa)中不安全的反序列化,FasterXML jackson-databind可能允许远程攻击者在系统上执行任意代码。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。

  受影响产品和版本

  上述漏洞影响IBM Operations Analytics Predictive Insights 1.3.6版本(仅当您在Predictive Insights中安装了REST中介服务时)

  解决方案

  IBM公司发布了IBM Operations Analytics Predictive Insights 1.3.6临时补丁3(仅当您在Predictive Insights中安装了REST中介服务时)

版权声明
本文由利来国际最给利的老牌整理发布,转载请注明出自云安全日报200901:IBM主动故障管理系统发现高危http://www.0763cx.com/news/2220.html