一位在线绰号名为“tint0”的安全研究人员,于今年4月发现IBM基于Java EE的运行环境WebSphere Application Server受到三个潜在的严重反序列化问题的影响。其中两个缺陷为严重,可以被利用以执行远程代码,而第三个缺陷则可能导致信息泄露。
Tint0是通过趋势科技的ZDI向IBM报告了,ZDI上周针对每个漏洞发布了公告,并已于4月中旬报告给IBM。
允许远程执行代码的安全漏洞被跟踪为CVE-2020-4450和CVE-2020-4448,它们是由缺乏对用户提供的数据的正确验证而造成的,可导致不信任数据的反序列化。
其中一个漏洞与BroadcastMessageManager类有关,允许使用SYSTEM特权执行任意代码,而另一个漏洞与IIOP协议的处理有关,允许具有root用户特权的执行代码。
根据IBM的说法,利用涉及发送特制的序列化对象序列。WebSphere Application Server 8.5和9.0 受到影响,CVE-2020-4448也影响 WebSphere Virtual Enterprise Edition。
tint0标识的高严重性漏洞也与IIOP反序列化有关,可导致信息泄露。远程攻击者可以使用特制的序列化对象序列来利用此漏洞,无需身份验证。
IBM方面已针对每个漏洞发布了补丁程序,暂没有证据表明存在被恶意利用的迹象。
微软2020年6月份于补丁日针对129个安全漏洞发布补丁
风险管理公司发现了2019年在开源项目中流行的1000个漏洞
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理