重庆小潘seo博客

当前位置:首页 > 重庆网络营销 > 小潘杂谈 >

小潘杂谈

云安全日报201016:IBM企业资产管理软件发现执行任意代码漏洞,

时间:2020-10-16 15:20:06 作者:重庆seo小潘 来源:
IBM Maximo Asset Management是美国IBM公司的一套综合性资产生命周期和维护管理解决方案。该方案能够在一个平台上管理所有类型的资产,如设施、交通运输等,并对这些资产实现单点控制。10月15日,IBM发布安全公告,IBM Maximo 企业资产管理软件发现执行任意

IBM Maximo Asset Management是美国IBM公司的一套综合性资产生命周期和维护管理解决方案。该方案能够在一个平台上管理所有类型的资产,如设施、交通运输等,并对这些资产实现单点控制。10月15日,IBM发布安全公告,IBM Maximo 企业资产管理软件发现执行任意代码高危漏洞,需要尽快升级。以下是漏洞详情:

漏洞详情

来源:

https://www.ibm.com/support/pages/node/6348628

Jackson 是基于Java平台的一套主要用于处理java json的数据处理工具。

Jackson Core中的多个漏洞影响IBM Maximo Asset Management。

1.CVEID:CVE-2017-15095 CVSS评分: 9.8 高危

Jackson JSON库可能允许远程攻击者在系统上执行任意代码,这是由ObjectMapper的readValue()方法中的反序列化缺陷引起的。通过发送特制数据,攻击者可以利用此漏洞在系统上执行任意代码。

2.CVEID:CVE-2017-17485 CVSS评分: 9.8 高危

由于默认键入功能的缺陷,Jackson-databind可能允许远程攻击者在系统上执行任意代码。攻击者可能利用此漏洞在系统上执行任意代码。

3.CVEID:CVE-2017-7525 CVSS评分: 9.8 高危

Apache Struts可能允许远程攻击者在系统上执行任意代码,这是由ObjectMapper的readValue方法中Jackson JSON库中的反序列化漏洞引起的。通过发送特制请求,攻击者可以利用此漏洞在系统上执行任意代码。

4.CVEID:CVE-2016-7051 CVSS评分:5.3 中

jackson -dataformat -xml容易受到服务器端请求伪造的影响,这是由XmlMapper中的缺陷引起的。通过使用与DTD相关的媒介,攻击者可以利用此漏洞进行SSRF攻击(Server-side Request Forge, 服务端请求伪造,由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务)。

受影响产品和版本

此漏洞影响以下版本的IBM Maximo Asset Management核心产品。建议的操作是更新到最新版本。

Maximo Asset Management核心产品版本受到影响:

IBM Maximo Asset Management 7.6.0, 7.6.1

如果使用受影响的核心版本,以下行业产品会受到影响:

Maximo for Aviation

Maximo for Life Sciences

Maximo for Nuclear Power

Maximo for Oil and Gas

Maximo for Transportation

Maximo for Utilities

如果使用受影响的核心版本,将会影响IBM控台产品:

SmartCloud Control Desk

IBM Control Desk

Tivoli Integration Composer

解决方案

对于Maximo Asset Management 7.6:

升级 Maximo Asset Management 7.6.1.2功能包:7.6.1.2-TIV-MAMMT-FP002或最新的临时修订可用

推荐的解决方案是从Fix Central下载适当的Interim Fix或Fix Pack,并尽快申请每个受影响的产品。

查看更多漏洞信息 以及升级请访问官网:

https://www.ibm.com/blogs/psirt/