推广 热搜: 京东  联通  iphone11  摄像头  企业存储  iPhone  XSKY  京东智能采购  网络安全  自动驾驶 

云安全日报220412:IBM企业B2B平台软件发现执行任意代码漏洞,需要尽快升级

   日期:2022-04-13     来源:TechWeb.com.cn    作者:itcg    浏览:605    我要评论    
导读:IBM Sterling B2B Integrator是美国IBM公司的一套集成了重要的B2B流程、交易和关系的软件。该软件支持与不同的合作伙伴社区之间实现复杂的B2B流程的安全集成。 4月11日,IBM发布了安全更新,

IBM Sterling B2B Integrator是美国IBM公司的一套集成了重要的B2B流程、交易和关系的软件。该软件支持与不同的合作伙伴社区之间实现复杂的B2B流程的安全集成。

4月11日,IBM发布了安全更新,修复了IBM企业B2B平台软件中发现的执行任意代码漏洞。以下是漏洞详情:

漏洞详情

来源: https://www.ibm.com/support/pages/node/6570975

CVE-2022-22965 CVSS评分:9.8 严重程度:重要

Spring framework 可能允许远程攻击者在系统上执行任意代码,这是由于对与数据绑定一起使用的 PropertyDescriptor 对象的不当处理引起的。通过向 Spring Java 应用程序发送特制数据,攻击者可以利用此漏洞在系统上执行任意代码。注意:该漏洞利用需要 Spring framework 在 Tomcat 上作为 WAR 部署运行,使用 JDK 9 或更高版本,使用 spring-webmvc 或 spring-webflux。注意:此漏洞也称为 Spring4Shell 或 SpringShell。IBM Sterling B2B Integrator 受到Spring framework 中远程代码执行的影响。

受影响产品和版本

IBM Sterling B2B Integrator 6.0.0.0 - 6.0.3.5, 6.1.0.0 - 6.1.0.4, 6.1.1.1版本

解决方案

IBM Sterling B2B Integrator 受到影响,但未被归类为易受 Spring framework 中远程代码执行 (CVE-2022-22965) 的影响,因为它不满足以下所有标准:1. JDK 9 或更高版本,2. Apache Tomcat 作为Servlet 容器,3. 打包为 WAR(与 Spring Boot 可执行 jar 相比),4. Spring-webmvc 或 spring-webflux 依赖项,5. Spring framework 版本 5.3.0 到 5.3.17、5.2.0 到 5.2.19 , 和旧版本。出于谨慎考虑,IBM官方将在未来的版本中升级 Spring framework。

查看更多漏洞信息 以及升级请访问官网:

https://www.ibm.com/blogs/psirt/

 
反对 0举报 0 收藏 0 打赏 0评论 0
 
更多>同类资讯
0相关评论

头条阅读
推荐图文
相关资讯
网站首页  |  物流配送  |  关于我们  |  联系方式  |  使用协议  |  版权隐私  |  网站地图  |  排名推广  |  广告服务  |  积分换礼  |  RSS订阅  |  违规举报  |  京ICP备14047533号-2
Processed in 0.149 second(s), 11 queries, Memory 1.48 M