IBM MQ(IBM WebSphere MQ)是美国IBM公司的一款消息传递中间件产品,可以快速地在应用、系统和服务之间传递消息数据,主要为面向服务的体系结构(SOA)提供可靠的、经过验证的消息传递主干网。
12月23日,IBM发布了安全更新,修复了IBM MQ消息中间件中发现的重要漏洞。以下是漏洞详情:
漏洞详情
来源:https://www.ibm.com/support/pages/node/6393332
CVE-2019-17638 CVSS评分:9.4 高危
该漏洞主要是与IBM MQ Explorer捆绑在一起的Eclipse Jetty(Jetty是使用Java语言编写的一个开源的servlet容器,它为基于Java的web容器,例如JSP和servlet提供运行环境.从某种程度上,可以把 Jetty 理解为一个嵌入式的Web服务器.)导致的。Jenkins中捆绑的Eclipse Jetty可能允许远程攻击者获取敏感信息,这是由于HTTP响应缓冲区损坏发送到不同的客户端引起的。通过发送特制的HTTP请求,攻击者可以利用此漏洞获取敏感信息,然后使用此信息对受影响的系统发起进一步的攻击。
受影响产品和版本
IBM MQ 9.2 CD
IBM MQ 9.2 LTS
解决方案
对于IBM MQ 9.2 LTS:
应用9.2.0.1修订包可修复
对于IBM MQ 9.2 CD:
升级至IBM MQ 9.2.1可修复
查看更多漏洞信息 以及升级请访问官网:
https://www.ibm.com/blogs/psirt/
