IBM在1月5日发布了六则安全公告,其中涉及的产品包括IBM Cognos Analytics、IBM Security Secret Server、IBM Runtime Environment Java、IBM FTM CPS金融交易管理软件和IBM FTM CHK金融交易管理软件。
这几则安全公告包含8个漏洞,其中高危3个,中危5个,漏洞类型主要为XML注入、权限提升和访问控制问题、信息泄露和跨站脚本。
公告所提及的三个高危漏洞的CVE编号分别为CVE-2018-1721、CVE-2019-4473、CVE-2019-11771。
严格来说,CVE-2018-1721并不是最新披露的漏洞,去年11月初,IBM就曾披露IBM Cognos Analytics 11.0版本和11.1版本受到CVE-2018-1721漏洞的影响。IBM Cognos Analytics是IBM公司的一套商业智能软件。该软件包括报表、仪表板和记分卡等,并可通过分析关键因素与关键人等内容,协助企业调整决策。此次,该漏洞影响了IBM Cognos Analytics 11.1.4版本和11.0.13 FP2版本。远程攻击者可利用该漏洞泄露敏感信息或造成web server向任意域发送HTTP请求。
CVE-2019-4473源于基于AIX平台的IBM SDK,JavaTechnology Edition中的多个二进制文件使用了不安全的绝对RPATHs。IBM SDK,Java Technology Edition是IBM公司的一款用于Java应用程序开发的软件开发工具包。本地攻击者可利用该漏洞注入代码和提升权限。使用IBM Runtime Environment Java 7版本和8版本的IBM FTM CHK金融交易管理软件3.0.0.0版本至3.0.0.15版本、3.0.2.0版本至3.0.2.1版本、3.0.5.0版本至3.0.5.4版本受到该漏洞的影响。
CVE-2019-11771源于程序包含了不用的RPATHS,本地攻击者可利用该漏洞注入代码和提升在系统上的权限。该漏洞影响了使用IBM Runtime Environment Java 7版本和8版本的IBM FTM CHK金融交易管理软件3.0.0.0版本至3.0.0.15版本、3.0.2.0版本至3.0.2.1版本、3.0.5.0版本至3.0.5.4版本受到该漏洞的影响,以及IBM FTM CPS金融交易管理软件3.0.2.0版本至3.0.2.1版本和3.2.1.0版本。
根据IBM发布的公告内容,这些漏洞已得到修复,建议用户尽快下载更新。