原标题:云安全日报210225:IBM消息传递网关发现执行任意代码漏洞,需要尽快升级
IBM WIoTP Message Gateway是IBM公司用于MQTT(消息队列遥测传输协议,包括mqttv5、HTML5 WebSockets、JMS)的可扩展、高可用的消息传递网关。
2月24日,IBM发布了安全更新,修复了Message Gateway中发现的执行任意代码等漏洞。以下是漏洞详情:
漏洞详情
来源: https://www.ibm.com/support/pages/node/6417051
1.CVE-2020-27221 CVSS评分:9.8 严重程度:重要
IBM MessageGateway使用的IBM Runtime Environment Java版本8.0中存在多个漏洞。当虚拟机或JNI本机从UTF-8字符转换为平台编码时,Eclipse OpenJ9容易受到基于堆栈的缓冲区溢出的影响。通过发送一个过长的字符串,远程攻击者可能会溢出缓冲区并在系统上执行任意代码,或者导致应用程序崩溃。
2.CVE-2020-1971 CVSS评分:7.5 严重程度:高
由于NULL指针取消引用,OpenSSL容易受到拒绝服务的攻击。如果GENERAL_NAME_cmp函数包含EDIPARTYNAME,则攻击者可能利用此漏洞导致应用程序崩溃。
3. CVE-2020-14803 CVSS评分:5.3 严重程度:中等
IBM MessageGateway使用的IBM Runtime Environment Java版本8.0中存在多个漏洞。Java SE中的未指定漏洞可能允许未经身份验证的攻击者使用未知攻击向量来获取敏感信息,从而导致较低的机密性影响。
受影响的产品和版本
BM WIoTP MessageGateway 5.0.0.1
解决方案
IBM WIoTP MessageGateway 升级至5.0.0.2可修复
查看更多漏洞信息 以及升级请访问官网:
https://www.ibm.com/blogs/psirt/
