• 我的位置:
  • 首頁
  • -
  • 漏洞預警
  • -
  • 應用
  • -
    • IBM WebSphere 外部實體注入漏洞
    • CNNVD編號:未知
    • 危害等級: 高危 
    • CVE編號:CVE-2020-4949
    • 漏洞類型: 信息泄露
    • 威脅類型:遠程
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2021-01-29
    • 更新時間:2021-01-29

    漏洞簡介

    1、組件介紹

    WebSphere是IBM的軟件平臺。它包含了編寫、運行和監(jiān)視全天候的工業(yè)強度的隨需應變Web應用程序和跨平臺、跨產品解決方案所需要的整個中間件基礎設施,如服務器、服務和工具。WebSphere提供了可靠、靈活和健壯的軟件。

    WebSphere Application Server 是該設施的基礎,其他所有產品都在它之上運行。WebSphere Process Server 基于 WebSphere Application Server 和 WebSphere Enterprise Service Bus,它為面向服務的體系結構 (SOA) 的模塊化應用程序提供了基礎,并支持應用業(yè)務規(guī)則,以驅動支持業(yè)務流程的應用程序。高性能環(huán)境還使用 WebSphere Extended Deployment 作為其基礎設施的一部分。為其他 WebSphere 產品提供了廣泛的其他服務。

    2、漏洞描述

    近日,深信服安全團隊監(jiān)測到一則WebSphere組件存在 XXE漏洞的信息,漏洞編號:CVE-2020-4949,漏洞危害:高危。該漏洞是由于WAS未正確處理XML數據,攻擊者可以利用精心構造的惡意請求進行XXE攻擊,造成文件讀取、信息泄露等。

    漏洞公示

    暫無

    參考網站

    暫無

    受影響實體

    WebSphere 是 IBM 的軟件平臺。它包含了編寫、運行和監(jiān)視全天候的工業(yè)強度的隨需應變 Web 應用程序和跨平臺、跨產品解決方案所需要的整個中間件基礎設施,如服務器、服務和工具。WebSphere 提供了可靠、靈活和健壯的軟件。全球有幾十萬臺服務器部署該平臺,可能受漏洞影響的資產廣泛分布于世界各地,中國大陸省份中主要集中在北京,廣東等地。

    目前受影響的WebSphere版本:

    WebSphere Application Server 9.0.0.0 - 9.0.5.6

    WebSphere Application Server 8.5.0.0 - 8.5.5.18

    WebSphere Application Server 8.0.0.0 - 8.0.0.15

    WebSphere Application Server 7.0.0.0 - 7.0.0.45

    補丁

    1、如何檢測組件系統(tǒng)版本

    方法一、登錄websphere管理平臺首頁查看版本信息。

    方法二、進入/opt/IBM/WebSphere/AppServer/bin目錄下,執(zhí)行./versionInfo.sh即可查看當前版本,查看Package日期,如果低于20210125則說明存在安全風險。


    2、官方修復建議

    當前官方已發(fā)布最新版本,建議受影響的用戶及時更新升級到最新版本。補丁下載地址:

    https://www.ibm.com/support/pages/node/6407078

    訪問補丁鏈接,登錄相關賬號,選擇對應版本進行下載:

    3、深信服解決方案

    深信服安全運營服務】深信服云端安全專家提供7*24小時持續(xù)的安全運營服務。在漏洞爆發(fā)之初,云端安全專家即對客戶的網絡環(huán)境進行漏洞掃描,保障第一時間檢查客戶的主機是否存在此漏洞。對存在漏洞的用戶,檢查并更新了客戶防護設備的策略,確??蛻舴雷o設備可以防御此漏洞風險。

    深信服安全云眼】在漏洞爆發(fā)之初,已完成檢測更新,對所有用戶網站探測,保障用戶安全。不清楚自身業(yè)務是否存在漏洞的用戶,可注冊信服云眼賬號,獲取30天免費安全體驗。

    注冊地址:http://saas.sangfor.com.cn

    深信服云鏡】在漏洞爆發(fā)第一時間即完成檢測能力的發(fā)布,部署云端版云鏡的用戶只需選擇緊急漏洞檢測,即可輕松、快速檢測此高危風險。部署離線版云鏡的用戶需要下載離線更新包來獲取該漏洞的檢測能力。