原标题:云安全日报210804:IBM企业全面集成需求平台发现执行任意代码漏洞,需要尽快升级
IBM App Connect Enterprise是IBM公司的一个操作系统。IBM App Connect Enterprise 将现有业界信任的IBM Integration Bus 技术与 IBM App Connect Professional 以及新的云本机技术进行了组合,提供一个可满足现代数字企业全面集成需求的平台。
8月3日,IBM发布了安全更新,修复了IBM App Connect Enterprise中发现的执行任意代码漏洞。以下是漏洞详情:
漏洞详情
来源: https://www.ibm.com/support/pages/node/6477592
CVE-2021-33195 CVSS评分:7.3 严重程度:重要
IBM App Connect Enterprise Certified Container存在漏洞,Golang Go可能允许远程攻击者在系统上执行任意代码,原因是在网络中的 LookupCNAME、LookupSRV、LookupMX、LookupNS 和 LookupAddr 函数中不遵循 RFC 1035 规则。通过发送特制的请求,攻击者可以利用该漏洞在系统上执行任意代码。这会影响 Operator 本身和ACE服务器映像。
受影响的产品和版本
App Connect Enterprise Certified Container 1.0 with Operator
App Connect Enterprise Certified Container 1.1 with Operator
App Connect Enterprise Certified Container 1.2 with Operator
App Connect Enterprise Certified Container 1.3 with Operator
App Connect Enterprise Certified Container 1.4 with Operator
解决方案
App Connect Enterprise Certified Container 1.0、1.2、1.3 和 1.4 CD:
升级到 App Connect Enterprise Certified Container Operator 版本 1.5.0(在 CASE 1.5.0 中可用)或更高版本,并确保所有 Integration Server 组件都在 12.0.1.0-r1 或更高版本。
App Connect Enterprise Certified Container 1.1 LTS:
升级到 App Connect Enterprise Certified Container Operator 1.1.2 EUS(在 CASE 1.1.2 中可用)或更高版本,并确保所有 Integration Server 组件都在 11.0.0.13-r1-eus 或更高版本。
查看更多漏洞信息 以及升级请访问官网:
https://www.ibm.com/blogs/psirt/
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
