IBM MQ Appliance 是一款用于快速部署企业级消息中间件的一体化设备,可用于简化 IBM MQ 的安装、运维与扩展,并帮助企业更高效地连接合作伙伴及远程站点。
2020年5月24日,IBM 发布安全更新,修复了 IBM MQ Appliance 中一个可导致任意代码执行的高危漏洞。相关情况如下。
漏洞详情
CVE-2020-27221
CVSS 评分:9.8
风险等级:高危
该漏洞与 Eclipse OpenJ9 有关。在虚拟机或 JNI 本地代码将 UTF-8 字符转换为平台编码时,可能出现基于栈的缓冲区溢出问题。攻击者可通过发送超长字符串触发漏洞,从而在目标系统上执行任意代码,或导致应用程序崩溃。
受影响版本
- IBM MQ Appliance 9.1 CD
- IBM MQ Appliance 9.1 LTS
- IBM MQ Appliance 9.2 CD
- IBM MQ Appliance 9.2 LTS
修复方案
该漏洞已通过 APAR IT35811 和 IT35540 修复。建议根据当前版本尽快采取以下升级或补丁措施:
- IBM MQ Appliance 9.1 LTS:应用 iFix IT35811 或更高版本。
- IBM MQ Appliance 9.2 LTS:升级至修订包 9.2.0.2 或更高版本。
- IBM MQ Appliance 9.1 CD 和 9.2 CD:升级至 9.2.2 CD 或更高版本。
处置建议
建议相关用户尽快核查设备版本,并按照对应方案完成补丁安装或版本升级,以降低远程代码执行和服务异常风险。
[[[IMG_1]]]
