打印

关于WAS远程代码执行漏洞说明以及解决方案

关于WAS远程代码执行漏洞说明以及解决方案

关于WAS远程代码执行漏洞(CVE-2020-4276、CVE-2020-4362)说明以及解决方案
CVE-2020-4362 和 CVE-2020-4276
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4362
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4276

漏洞说明:
IBM WebSphere Application Server 7.0, 8.0, 8.5, and 9.0 traditional is vulnerable to a privilege escalation vulnerability when using token-based authentication in an admin request over the SOAP connector. IBM X-Force ID: 178929.
WAS 7.0, 8.0, 8.5 和 9.0 在使用 soap 协议对 WAS 发出管理命令的请求时,在身份验证的机制上发现安全性漏洞。

受影响的版本:
现有全部的 WAS 7.0, 8.0, 8.5 以及 9.0 各版本均受到这个漏洞的影响。

解决方案:
将 WAS 的版本升级到 7.0.0.45, 8.0.0.15, 8.5.5.16, 8.5.5.17, 9.0.5.2, 9.0.5.3 之後。
安装补丁 PH23853 一次修正 CVE-2020-4362 和 CVE-2020-4276 两个漏洞。

注意事项
如果您之前是使用 WAS 8.5.5.13 或更早版本,并且是使用预设的JDK 1.6 ,升级 WAS 到 8.5.5.14 之後的版本,将会移除 JDK 1.6 ,替换成 JDK 1.8。
这是因为 JDK 1.6 在 2018年五月开始已经停止技术支持 (https://developer.ibm.com/wasdev/blog/2017/10/25/java-6-end-support/
注:WAS 8.5.5.x 以及 9.0.5.x 将会提供技术支持一直到 2030 年,希望客户能够依照自身需求定时安装较新版的补丁包来防堵安全性漏洞。
  IBM to provide standard support for WebSphere Application Server versions 8.5.5 and 9.0.5 through at least 2030
  https://community.ibm.com/community/user/imwuc/blogs/michael-thompson/2020/03/24/was-2030-faq

另外,JDK 1.7 将在 July 31, 2022 之後停止技术支持,如果您目前是使用 JDK 1.7 ,请开始评估升级的计划和时间安排。
  Revised end of support date: IBM WebSphere Application Server with Java SE 7 or Java SE 7.1
  https://www-01.ibm.com/common/ssi/ShowDoc.wss?docURL=/common/ssi/rep_ca/8/897/ENUS219-258/index.html&request_locale=en
拥抱智慧地球!地球守护使者!

TOP