美国IBM是全球最大的信息技术和业务解决方案公司.在过去的几年里,IBM已经完成了业务模式的完全转型。IBM 的全球能力包括服务、软件、硬件系统、研发及相关融资支持。IBM的业务模式是灵活的,能够与不断变化的市场和经济环境相适应。IBM始终以超前的技术、出色的管理和独树一帜的产品领导着信息产业的发展,保证了世界范围内几乎所有行业用户对信息处理的全方位需求。
不过IBM于7月23日发布了安全公告,IBM MQ Appliance存在大量漏洞,可升级修复。
什么是IBM MQ
IBM MQ消息队列(MQ)是一种应用程序对应用程序的通信方法。应用程序通过写和检索出入列队的针对应用程序的数据(消息)来通信,而无需专用连接来链接它们。消息传递指的是程序之间通过在消息中发送数据进行通信,而不是通过直接调用彼此来通信,直接调用通常是用于诸如远程过程调用的技术。
IBM MQ属于一种比较老旧的应用,在互联网应用的开发中较少见到,经常被一些政府公共部门,银行等企业用来做数据传输和报文收发.
什么是IBM MQ Appliance
IBM MQ Appliance是美国IBM公司的一款用于快速部署企业级消息中间件的一体机设备。作为功能强大且高效的硬件设备,IBM MQ Appliance简化了IBM MQ的设置和维护,降低了总体拥有成本(TCO),因为它可以扩展并简化您与合作伙伴和远程位置的联系。
漏洞详情:
1.IBM MQ Appliance 缓冲区错误漏洞(CVE-2020-4465)
由于通道处理代码中的错误,用于HPE NonStop的IBM MQ,IBM MQ Appliance和IBM MQ容易受到缓冲区溢出漏洞的影响。远程攻击者可能使用较旧的客户端溢出缓冲区,并导致拒绝服务。
受影响的产品和版本:
IBM MQ设备 8.0
IBM MQ设备 9.1 LTS
IBM MQ设备 9.1 CD
漏洞修复
IBM MQ设备8.0应用修订包8.0.0.15或更高版本。
IBM MQ设备9.1 LTS 应用修订包9.1.0.6或更高版本。
IBM MQ Appliance 9.1CD 应用IBM MQ Appliance 9.2或更高版本。
2.IBM MQ Appliance拒绝服务(Dos)漏洞(CVE-2020-4375)
攻击者可利用该漏洞造成拒绝服务。
受影响的产品和版本:
IBM MQ设备 8.0
IBM MQ设备 9.1 LTS
IBM MQ设备 9.1 CD
漏洞修复
IBM MQ设备8.0应用修订包8.0.0.15或更高版本。
IBM MQ设备9.1 LTS应用修订包9.1.0.5或更高版本。
IBM MQ Appliance 9.1 CD应用IBM MQ Appliance 9.2或更高版本。
3.IBM MQ Appliance 跟踪漏洞(CVE-2019-4731)
本地攻击者可以通过此漏洞来获取高度敏感的信息。
受影响的产品和版本:
IBM MQ设备 9.1.4 CD
漏洞修复
IBM MQ Appliance 9.1版CD应用修订包9.1.5或更高版本。
4.IBM MQ Appliance信息泄露漏洞(CVE-2020-4319,CVE-2020-4498)
适用于HPE NonStop的IBM MQ,IBM MQ Appliance和IBM MQ在特殊情况下可以允许经过身份验证的用户获取敏感信息,这是由于v7之前版本中的发布订阅(pubsub)逻辑错误消息造成的数据泄漏.
受影响的产品和版本:
IBM MQ设备 8.0
IBM MQ设备 9.1 LTS
IBM MQ设备 9.1 CD
漏洞修复
IBM MQ设备8.0应用修订包8.0.0.15或更高版本。
IBM MQ设备9.1 LTS应用修订包9.1.0.6或更高版本。
IBM MQ Appliance 9.1CD应用IBM MQ Appliance 9.2或更高版本。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
