IBM WebSphere Application Server(WAS)是一款面向 Java EE 和 Web 服务应用的服务器产品,也是 WebSphere 软件体系中的基础组件。在相关部署场景中,若安装了 Rational Asset Manager,还可用于在分布式开发环境中管理和复用多类资产。
6月3日,IBM 发布安全更新,修复了 WebSphere Application Server 中多项安全问题,其中包括可导致任意代码执行的高危漏洞。相关用户应尽快核查版本并完成修复。
漏洞详情
1. CVE-2020-4448
CVSS 评分:9.8
风险等级:重要
IBM WebSphere Application Server Network Deployment 7.0、8.0、8.5 和 9.0 版本可能受到反序列化相关问题影响。远程攻击者可借助来自不受信任来源的特制序列化对象,在目标系统上执行任意代码。
2. CVE-2020-4643
CVSS 评分:7.5
风险等级:重要
IBM WebSphere Application Server 7.0、8.0、8.5 和 9.0 在处理 XML 数据时存在 XML 外部实体注入(XXE)风险。攻击者可利用该漏洞读取或暴露敏感信息。
3. CVE-2020-4575
CVSS 评分:4.7
风险等级:重要
IBM WebSphere Application Server ND 8.5 和 9.0,以及 IBM WebSphere Virtual Enterprise 7.0 和 8.0,在配置高可用部署管理器时可能受到跨站脚本攻击(XSS)影响。
受影响产品与版本
- IBM InfoSphere Master Data Management 11.6
- IBM WebSphere Application Server 9.0
修复建议
对于传统版 WebSphere Application Server 和 WebSphere Application Server Hypervisor Edition,可按以下方式处理:
V9.0.0.0 至 9.0.5.3
- 先根据临时修复要求升级到最低修订包级别,再应用 Interim Fix PH20847;
- 或直接升级至 9.0.5.4 及以上版本。
V8.5.0.0 至 8.5.5.17
- 先按要求升级到最低修订包级别,再应用 Interim Fix PH20847;
- 或升级至 8.5.5.18 及以上版本。
V8.0.0.0 至 8.0.0.15
- 先升级至 8.0.0.15,再应用 Interim Fix PH20847。
V7.0.0.0 至 7.0.0.45
- 先升级至 7.0.0.45,再应用 Interim Fix PH20847。
建议使用相关版本的组织尽快安排补丁评估、测试与上线,优先处理涉及公网暴露或关键业务系统的实例,以降低被利用风险。
