IBM 10日发布4则安全公告,披露其软件产品中存在的安全漏洞,提醒用户注意。公告中涉及的产品包括IBM CPLEX Optimization Studio和IBM CPLEX Enterprise Server、IBM Decision Optimization Center、IBM Platform Symphony 和IBM Spectrum Symphony、IBM Content Navigator。
IBM此次公布了22个安全漏洞,其中3个高危,7个中危和12个低危漏洞。三个高危漏洞的CVE编号分别为CVE-2019-17631、CVE-2020-2604和CVE-2019-4732。
CVE-2019-17631源于当攻击者试图访问资源或执行操作时,EclipseOpenJ9未能执行授权检查,本地攻击者可提升在系统上的权限。OpenJ9是一个高性能可伸缩的Java 虚拟机,是许多IBM企业级软件产品的核心。攻击者可利用该漏洞进行诊断操作,例如引起垃圾收集或创建诊断文件。CVE-2020-2604则存在于Java SE中,如成功利用该漏洞,未经授权的攻击者可控制系统。CVE-2019-17631和CVE-2020-2604影响了IBMPlatform Symphony 7.1 Fix Pack 1版本和7.1.1版本,以及IBMSpectrum Symphony 7.1.2版本、7.2.0.2版本、7.2.1版本、7.3版本和7.3.0.1。
CVE-2019-4732存在于IBM SDK,JavaTechnology Edition 7.0 .0.0版本至7.0.10.55版本,7.1.0.0版本至7.1.4.55版本,和8.0.0.0版本至8.0.6.0版本。本地攻击者可借助特制的文件利用该漏洞在系统上执行任意代码。要利用该漏洞,攻击者需要借助用户的交互。IBMCPLEX Optimization Studio和IBM CPLEX Enterprise Server、IBMDecision Optimization Center、IBM Platform Symphony和IBMSpectrum Symphony都受到该漏洞的影响。
IBM在安全公告中表示已修复了此次公布的安全漏洞,建议用户尽快下载更新。