IBM 修补数据虚拟化管理器、安全 SOAR 中的 RCE 漏洞
IBM 修补数据虚拟化管理器、安全 SOAR 中的 RCE 漏洞
原创 何威风 祺印说信安 2024-11-26 16:00
IBM 周一宣布修复其产品的多个漏洞,包括数据虚拟化管理器和安全 SOAR 中的两个高严重性远程代码执行 (RCE) 问题。
该漏洞编号为 CVE-2024-52899(CVSS 评分为 8.5),存在于 z/OS 数据虚拟化管理器中,可能允许远程经过身份验证的攻击者注入恶意 JDBC URL 参数,从而导致在服务器上执行任意代码。
IBM 已发布针对 z/OS 1.1 和 1.2 版数据虚拟化管理器的修复包,并在其公告
中提供了有关如何下载这些修复包的说明
。
该安全 SOAR 缺陷的编号为 CVE-2024-45801(CVSS 评分为 7.3),被描述为深度检查中的原型污染缺陷,导致通过用户界面的 DOMPurify 组件进行 RCE。
IBM 解释说:“通过使用 proto 或构造函数负载添加或修改 Object.prototype 的属性,攻击者可以利用此漏洞执行任意代码或导致系统出现拒绝服务情况。”
IBM Security SOAR 版本 51.0.4.0 通过从 UI 中删除易受攻击的组件来解决此漏洞。这家科技巨头还发布了
针对 Security SOAR 用户的 升级
说明。
周一,IBM 还宣布了针对 CVE-2024-49353 的补丁,该漏洞是 Watson Speech Services Cartridge for Cloud Pak for Data 中的一个高严重性漏洞,可能会导致系统崩溃,以及针对 CVE-2024-6119 的补丁,该漏洞是 OpenSSL(Databand 用于数据可观察性)中的一个拒绝服务 (DoS) 漏洞。
此外,这家科技巨头还解决了工程生命周期管理中的三个中低严重程度的安全缺陷,这些缺陷可能被跨站点脚本 (XSS) 攻击利用,可能允许用户更改他们有权访问的任何仪表板,或者使用网络嗅探工具恢复纯文本管理密码和用户名。
还发现 IBM Workload Scheduler 以纯文本形式存储用户凭据,而 Cloud Pak for Data 上的 Watson Query 和 Db2 Big SQL 中的会话过期不足可能允许经过身份验证的攻击者访问敏感信息。
IBM 没有提及这些漏洞是否已被利用。建议用户尽快更新其实例。更多信息可在 IBM 的
安全公告页面
上找到。
— 欢迎关注 往期回顾
—
网络被黑?还看“两高一弱” ,原来是不履行网络安全义务惹的祸
>>>网络安全等级保护<<<
网络安全等级保护:等级保护工作、分级保护工作、密码管理工作三者之间的关系
网络安全等级保护:明确测评双方的责任从了解测评过程指南开始(思维导图下载)
>>>数据安全系列<<<
**>>>错与罚<<<
因侵犯公民个人信息罪 深圳一人被判一年三个月 售卖他人求职简历
公安部网安局:河南开展整治网络谣言专项行动 查处造谣传谣3000余人
一公司高管为泄愤攻击智慧停车收费系统,致上千家停车场无法自动抬杆
因违规收集使用个人信息等,人保寿险宁波分公司被罚32万,4名责任人同时被罚
上海4人被判刑:5元掌握明星偶像行程?贩卖明星信息4人被判刑!
假期内,网络主播直播约架?郑州警方迅速控制,刑拘十人!网络空间不是法外之地!
网络水军团灭记:“转评赞”狂刷单 上百人“网络水军”团伙落网
北京多家公司因不履行网络安全保护义务被处罚!“两高一弱”仍然是安全隐患重点
关于“近20台服务器“沦陷”,3.54亿条个人信息被盗”一点点浅析
>>>其他<<<
网络安全知识:什么是访问矩阵?
网络安全知识:什么是账户收集?
网络安全知识:什么是工业控制系统 (ICS) 网络安全?
网络安全知识:什么是暴力攻击?
网络安全知识:什么是安全审计?
网络安全知识:什么是分组密码?