IBM Cloud Paks是一套面向企业的容器化多云解决方案,旨在帮助企业更快速、安全地将关键应用迁移到任何云平台。每个IBM Cloud Pak都建立在通用集成层之上,集成了容器化的中间件和各种软件服务,从而显著缩短开发周期,最高可达84%,同时降低运营成本,最高可达75%。
2023年12月14日晚,IBM发布了安全补丁,修复了在IBM Cloud Paks混合多云管理平台中发现的若干重要安全漏洞。以下为具体漏洞详情:
漏洞具体信息:
1. CVE-2020-8178,CVSS评分:9.8(高危)
来源:https://www.ibm.com/support/pages/node/6356103
该漏洞影响Node.js中的jison模块,存在输入验证不足的问题。远程攻击者可以利用此漏洞,通过发送特制请求在系统中执行任意命令。
2. 第三方组件:186585,CVSS评分:9.8(高危)
来源:https://www.ibm.com/support/pages/node/6356101
该漏洞涉及Node.js中的serialize-javascript模块,同样影响IBM Cloud Pak for Multicloud Management的托管服务,可能导致远程代码执行风险。
3. CVE-2020-16845,CVSS评分:7.5(高危)
来源:https://www.ibm.com/support/pages/node/6350221
Go语言部分存在拒绝服务漏洞,因ReadUvaRint和ReadVaRint函数在编码或二进制处理时出现无限读取循环。远程攻击者可以通过特制输入触发该漏洞,造成服务中断。
4. CVE-2020-15168,CVSS评分:7.5(高危)
来源:https://www.ibm.com/support/pages/node/6350659
Node.js中的node-fetch模块存在安全漏洞,可能被利用发起拒绝服务攻击。攻击者可通过特制文件使系统资源被过度消耗,影响服务稳定性。
受影响的产品版本:
IBM Cloud Pak for Multicloud Management 2.0
解决方案:
请按照官方升级指南的指示,将系统升级至IBM Cloud Pak for Multicloud Management 2.1版本以获得安全修复。
更多漏洞信息及升级方案,请访问官方博客:
https://www.ibm.com/blogs/psirt/
[[[IMG_1]]]
