IBM Maximo Asset Management是美国IBM公司的一套综合性资产生命周期和维护管理解决方案。该方案能够在一个平台上管理所有类型的资产,如设施、交通运输等,并对这些资产实现单点控制。10月15日,IBM发布安全公告,IBM Maximo 企业资产管理软件发现执行任意代码高危漏洞,需要尽快升级。以下是漏洞详情:
漏洞详情
来源:
https://www.ibm.com/support/pages/node/6348628
Jackson 是基于Java平台的一套主要用于处理java json的数据处理工具。
Jackson Core中的多个漏洞影响IBM Maximo Asset Management。
1.CVEID:CVE-2017-15095 CVSS评分: 9.8 高危
Jackson JSON库可能允许远程攻击者在系统上执行任意代码,这是由ObjectMapper的readValue()方法中的反序列化缺陷引起的。通过发送特制数据,攻击者可以利用此漏洞在系统上执行任意代码。
2.CVEID:CVE-2017-17485 CVSS评分: 9.8 高危
由于默认键入功能的缺陷,Jackson-databind可能允许远程攻击者在系统上执行任意代码。攻击者可能利用此漏洞在系统上执行任意代码。
3.CVEID:CVE-2017-7525 CVSS评分: 9.8 高危
Apache Struts可能允许远程攻击者在系统上执行任意代码,这是由ObjectMapper的readValue方法中Jackson JSON库中的反序列化漏洞引起的。通过发送特制请求,攻击者可以利用此漏洞在系统上执行任意代码。
4.CVEID:CVE-2016-7051 CVSS评分:5.3 中
jackson -dataformat -xml容易受到服务器端请求伪造的影响,这是由XmlMapper中的缺陷引起的。通过使用与DTD相关的媒介,攻击者可以利用此漏洞进行SSRF攻击(Server-side Request Forge, 服务端请求伪造,由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务)。
受影响产品和版本
此漏洞影响以下版本的IBM Maximo Asset Management核心产品。建议的操作是更新到最新版本。
Maximo Asset Management核心产品版本受到影响:
IBM Maximo Asset Management 7.6.0, 7.6.1
如果使用受影响的核心版本,以下行业产品会受到影响:
Maximo for Aviation
Maximo for Life Sciences
Maximo for Nuclear Power
Maximo for Oil and Gas
Maximo for Transportation
Maximo for Utilities
如果使用受影响的核心版本,将会影响IBM控台产品:
SmartCloud Control Desk
IBM Control Desk
Tivoli Integration Composer
解决方案
对于Maximo Asset Management 7.6:
升级 Maximo Asset Management 7.6.1.2功能包:7.6.1.2-TIV-MAMMT-FP002或最新的临时修订可用
推荐的解决方案是从Fix Central下载适当的Interim Fix或Fix Pack,并尽快申请每个受影响的产品。
查看更多漏洞信息 以及升级请访问官网:
https://www.ibm.com/blogs/psirt/