IBM i2 ibase是美国IBM公司的一款数据分析应用。该软件提供灵活的数据获取方式以及提供可视化工具进行数据分析。不过根据IBM 10月30安全公告显示,IBM i2 ibase 8.9.13 版本存在安全漏洞,这些漏洞会导致敏感信息泄露或允许攻击者上传任意可执行文件,可导致任意代码执行,需要尽快升级。以下是漏洞详情:
漏洞详情
来源:
https://www.ibm.com/support/pages/node/6357037
1.CVEID: CVE-2020-4588 CVSS评分:7.7 高
该漏洞主要是由于ibase文件上传不限制要上传的文件类型导致的。可能允许攻击者上传任意可执行文件,当这些文件由毫无戒心的受害者执行时,可能会导致任意代码执行。
来源:
https://www.ibm.com/support/pages/node/6357065
2.CVEID: CVE-2020-4584 CVSS评分: 3.3 中低
当浏览器中返回详细的技术错误消息时,IBM i2 ibase可能允许远程攻击者获取敏感信息。这些信息可用于对系统的进一步攻击。
受影响产品和版本
IBM i2 ibase 8.9.13及之前所有版本
解决方案
IBM已经发布升级修复补丁:
ibase 9中已解决上述问题。建议参考Passport Advantage帐户进行升级
查看更多漏洞信息 以及升级请访问官网:
https://www.ibm.com/blogs/psirt/
