IBM Websphere示意圖,圖片來源/IBM

安全研究人員發現IBM Websphere軟體3個漏洞,包括2個重大風險的RCE漏洞,1個高風險漏洞。

三項漏洞皆由暱稱Tint0的研究人員發現,並透過趨勢科技的Zero Day Initiatives (ZDI)團隊通報IBM。三項漏洞分別為CVE-2020-4448CVE-2020-4449CVE-2020-4450 。其中CVE-2020-4448發生於IBM Websphere Application Server中,BroadcastMessageManager元件對用戶傳入的資料未做適當驗證,導致惡意資料進行反序列化(deserialization)。結果造成遠端攻擊者可利用該漏洞,以系統管理員權限執行任意程式碼,這項漏洞CVSS 3.0風險評分為9.8,屬於重大漏洞。

IBM Websphere Application Server另外2個漏洞,來自對IIOP協定處理不當,未能對用戶提供的資訊適當驗證,讓用戶得傳送惡意序列化物件,導致資料反序列化。CVE-2020-4449讓攻擊者可利用根權限洩露資訊,漏洞CVSS 3.0風險評分為7.5屬於高度風險,CVE-2020-4450則讓攻擊者利用根權限執行任意程式碼,其CVSS 3.0風險評分為9.8,屬於重大漏洞。

CVE-2020-4448影響WebSphere Application Server ND 8.5/9.0,WebSphere Virtual Enterprise 7.0/8.0。CVE-2020-4449影響WebSphere Application Server 7.0/8.0/8.5/9.0。而CVE-2020-4450則影響最新近的WebSphere Application Server 8.5/9.0。

在研究團隊4月通報後,IBM已經在上星期將之修補完成,IBM表示沒有證據顯示有漏洞開採情形發生。


Advertisement

更多 iThome相關內容