IBM Cloud Automation Manager是美国IBM公司的一套多云自助服务管理平台。该平台支持在多个云中部署云基础架构,能够通过端到端自动化有效地管理和提供服务,同时使开发人员能够构建符合企业策略的应用程序。
11月26日,IBM发布了紧急安全更新,修复了IBM Cloud Automation Manager多云自助服务管理平台中发现的一些重要漏洞。以下是漏洞详情:
漏洞详情
1.CVE-2020-7720 CVSS评分:9.8 高危
来源:https://www.ibm.com/support/pages/node/6373024
Node.js node-forge模块中的一个安全漏洞会影响IBM Cloud Automation Manager。由于util.setPath函数中的原型污染缺陷,Node.js node-forge模块可能允许远程攻击者利用此漏洞,通过发送特制请求在系统上执行任意代码。
2.CVE-2020-8178 CVSS评分:9.8 高危
来源:https://www.ibm.com/support/pages/node/6373022
Node.js Jison模块中的一个安全漏洞会影响IBM Cloud Automation Manager。由于输入验证不足,Node.js jison可能允许远程攻击者利用此漏洞,通过发送特制请求在系统上执行任意命令。
3.CVE-2020-8244 CVSS评分:8.2 高
来源:https://www.ibm.com/support/pages/node/6373020
Node.js bl模块中的一个安全漏洞会影响IBM Cloud Automation Manager。Node.js bl模块可能允许远程攻击者获取敏感信息,这是由于消费函数中的缓冲区超读缺陷所致。通过发送特制的参数,攻击者可以利用此漏洞来获取敏感信息,或导致拒绝服务状况。
4.CVE-2020-7919 CVSS评分:7.5 高
来源:https://www.ibm.com/support/pages/node/6373012
GO中的一个安全漏洞会影响IBM Cloud Pak for Multicloud Management Managed Service。Go容易受到拒绝服务的攻击。通过发送格式不正确的X.509证书,远程攻击者可以利用此漏洞导致系统崩溃。
5.CVE-2020-24553 CVSS评分:7.2 高
来源:https://www.ibm.com/support/pages/node/6373028
GO中的一个安全漏洞会影响IBM Cloud Automation Manager。Golang Go容易受到跨站点脚本的攻击,这是由于CGI / FCGI处理程序对用户提供的输入进行了不正确的验证所致。远程攻击者可以利用此漏洞将恶意脚本注入网页,一旦查看该网页,该网页将在宿主网站的安全上下文内的受害者的Web浏览器中执行。攻击者可能利用此漏洞窃取受害者基于cookie的身份验证凭据。
6.CVE-2020-7676 CVSS评分:4.4 中
来源:https://www.ibm.com/support/pages/node/6373010
angular.js中的一个安全漏洞会影响IBM Cloud Automation Manager。由于对用户提供的输入进行了不正确的验证,angular.js容易受到跨站点脚本的攻击。远程攻击者可以利用此漏洞将恶意脚本注入网页,一旦查看该网页,该网页将在宿主网站的安全上下文内的受害者的Web浏览器中执行。攻击者可能利用此漏洞窃取受害者基于cookie的身份验证凭据。
受影响产品和版本
上述漏洞影响IBM Cloud Automation Manager 4.2.0.1版本
解决方案
下载IBM Cloud Automation Manager Version 4.2.0.1 iFix 1 Offline Installation package,安装修复补丁可修复
查看更多漏洞信息 以及升级请访问官网:
https://www.ibm.com/blogs/psirt/