IBM 多款产品爆出漏洞 或严重影响银行等金融机构

不过IBM于7月31日发布了安全公告,IBM 旗下多款产品存在大量漏洞,或严重影响银行等金融机构。
以下是漏洞详情：

一.金融事务管理器（FTMHVP）

IBM Financial Transaction Manager for High Value Payments for Multi-Platform（FTM HVP）是美国IBM公司的一款适用于多平台的金融事务管理器。
该产品紧张用于银行等金融机构来监控、跟踪和报告金融支付和交易。

漏洞详情

1.跨站脚本漏洞（CVE-2020-4560）

IBM Financial Transaction Manager 3.2.4随意马虎受到跨站点脚本的攻击。
此漏洞许可用户在Web UI中嵌入任意JavaScript代码，从而改变预期的功能，从而可能导致可信会话中的凭据透露。

2.SQL注入漏洞（CVE-2020-4328）

IBM Financial Transaction Manager 3.2.4随意马虎受到SQL注入的攻击。
远程攻击者可以发送特制的SQL语句，这可能使攻击者可以查看，添加，修正或删除后端数据库中的信息。

漏洞修复

FTM HVP升级至: 3.2.4.0-FTM-HVP-MP-iFix0001 可修复上述两个漏洞

二.运用做事器WAS

IBM WebSphere Application Server（WAS）是美国IBM公司的一款运用做事器产品。
该产品是JavaEE和Web做事运用程序的平台，也是IBMWebSphere软件平台的根本。
IBM WAS中存在安全漏洞。

漏洞详情

远程攻击漏洞（CVE-2020-4534）

IBM WAS可能许可本地经由身份验证的攻击者得到由于对UNC路径的禁绝确处理而导致的系统特权提升。
通过利用特制的UNC路径调度任务，攻击者可以利用此漏洞实行具有更高特权的任意代码。

受到影响产品及版本：

IBM WAS 9.0版本，8.5版本，8.0版本， 7.0版本。

漏洞修复

对付传统的WebSphere Application Server和WebSphere Application Server Hypervisor Edition：

对付V9.0.0.0到9.0.5.4：路

根据临时修订哀求升级到最低修订包级别，然后运用临时修订PH26083-

或运用修订包9.0.5.5或更高版本（目标可用性为3Q2020）。

对付V8.5.0.0到8.5.5.17：

根据临时修订哀求升级到最低修订包级别，然后运用临时修订PH26083-

或运用修订包8.5.5.18或更高版本（目标可用性3Q2020）。

对付V8.0.0.0到8.0.0.15：升级到8.0.0.15，然后运用临时修订PH26083

对付V7.0.0.0到7.0.0.45：升级到7.0.0.45，然后运用临时修订PH26083

三. i2 Analysts Notebook数据可视化剖析工具

IBM i2 Analysts Notebook是美国IBM公司的一款数据可视化剖析工具。
该产品支持数据存储和数据剖析等功能。

1.内存破坏漏洞（CVE-2020-4549/CVE-2020-4550/CVE-2020-4551/CVE-2020-4552/CVE-2020-4553/CVE-2020-4554）

IBM i2 Analyst的Notebook可能许可本地攻击者在系统上实行由内存破坏引起的任意代码。
通过诱使受害者打开特制文件，攻击者可以利用此漏洞在系统上实行任意代码。

受影响产品及版本：

IBM i2 Analyst的Notebook 9.2.1

IBM i2 Analyst的Notebook Premium 9.2.1

漏洞修复

在线升级到最新程序包可修复此漏洞

四.Cognos Analytics商业智能软件

IBM Cognos Analytics是美国IBM公司的一套商业智能软件。
该软件包括报表、仪表板和记分卡等，并可通过剖析关键成分与关键人等内容，帮忙企业调度决策。

IBM Cognos Analytics中jQuery UI随意马虎受到跨站点脚本的攻击，这是由用户供应的输入的禁绝确验证引起的。
一旦单击URL，远程攻击者便可以利用特制URL中的title参数利用此漏洞在宿主Web站点的安全高下文中在受害者的Web浏览器中实行脚本。
攻击者可能利用此漏洞盗取受害者基于Cookie的身份验证凭据。

漏洞详情

1.特权升级漏洞（CVE-2019-4589）

IBM Cognos Analytics随意马虎受到特权升级的影响，在该特权升级中，“我的日程安排和订阅”页面可见，并且特权较低的用户可以访问该页面。

2. 信息透露漏洞（CVE-2019-4366）

IBM Cognos Analytics随意马虎受到信息透露漏洞的攻击，攻击者可能会利用该漏洞访问缓存的浏览器数据。

3.XML注入漏洞（CVE-2020-4377）

IBM Cognos Anaytics在处理XML数据时随意马虎受到XML外部实体注入（XXE）攻击。
远程攻击者可能利用此漏洞来透露敏感信息或花费内存资源。

受影响产品及版本：

IBM Cognos Analytics 11.1

IBM Cognos Analytics 11.0（11.0.13 FP2之前的版本）

漏洞修复

对付IBM Cognos Analytics 11.1.x：

推举的办理方案是尽快对列出的版本运用此修复程序。

下载IBM Cognos Analytics 11.1.7.0

对付IBM Cognos Analytics 11.0.x：

IBM Cognos Analytics 11.0.x仅易受CVE-2016-7103的攻击，这仅适用于IBM Cognos Analytics 11.0.13 FP2之前的版本。

推举的办理方案是运用IBM Cognos Analytics 11.0.x的最新可用版本。

IBM Cognos Analytics 11.0.13修订包3

本文源自TechWeb.com.cn