日韩成人免费在线_国产成人一二_精品国产免费人成电影在线观..._日本一区二区三区久久久久久久久不

當前位置:首頁 > 科技  > 知識百科

云安全日報220329:IBM現代元數據管理軟件發現執行任意代碼漏洞,需要盡快升級

來源: 責編: 時間:2023-08-07 16:30:05 238觀看
導讀 IBM Spectrum Discover是IBM公司一款現代化元數據管理軟件,它可以為EB級的非結構化數據存儲提供數據洞察。它可以快速抓取、整理和索引數十億個文件和對象的元數據,然后在這些

IBM Spectrum Discover是IBM公司一款現代化元數據管理軟件,它可以為EB級的非結構化數據存儲提供數據洞察。它可以快速抓取、整理和索引數十億個文件和對象的元數據,然后在這些數據源之上提供一個高效的、豐富的元數據索引庫和集中管理層。這將極大的改進大數據分析過程,加快關鍵研究的速度,提高存儲的經濟性,降低風險,從而創造企業競爭優勢。I0U28資訊網——每日最新資訊28at.com

3月28日,IBM發布了安全更新,修復了IBM Spectrum Discover中發現的執行任意代碼重要漏洞。以下是漏洞詳情:I0U28資訊網——每日最新資訊28at.com

漏洞詳情I0U28資訊網——每日最新資訊28at.com

來源: https://www.ibm.com/support/pages/node/6566889I0U28資訊網——每日最新資訊28at.com

1.CVE-2020-7720 CVSS評分:9.8 嚴重程度:嚴重I0U28資訊網——每日最新資訊28at.com

Node.js node-forge 模塊可能允許遠程攻擊者在系統上執行任意代碼,這是由 util.setPath 函數中的原型污染缺陷引起的。通過發送特制請求,攻擊者可以利用此漏洞在系統上執行任意代碼。I0U28資訊網——每日最新資訊28at.com

2.CVE-2021-43616 CVSS評分:9.8 嚴重程度:嚴重I0U28資訊網——每日最新資訊28at.com

NPM 可能允許遠程攻擊者在系統上執行任意代碼,這是由于安裝持續進行而導致的問題,而 package-lock.json 中的依賴信息與 ci 命令中的 package.json 不同。通過發送特制請求,攻擊者可以利用此漏洞在系統上執行任意代碼。I0U28資訊網——每日最新資訊28at.com

3.CVE-2020-15366 CVSS評分:9.8 嚴重程度:嚴重I0U28資訊網——每日最新資訊28at.com

Ajv(又名另一個 JSON Schema Validator)可能允許遠程攻擊者在系統上執行任意代碼,這是由 ajv.validate 函數中的原型污染缺陷引起的。通過發送特制數據,攻擊者可以利用此漏洞在系統上執行任意代碼。I0U28資訊網——每日最新資訊28at.com

4.CVE-2020-13822 CVSS評分:9.8 嚴重程度:嚴重I0U28資訊網——每日最新資訊28at.com

Node.js 的 Elliptic 包可能允許遠程攻擊者在系統上獲得提升的權限。通過使用編碼變化、前導 '/0' 字節或整數溢出,攻擊者可以利用此漏洞來允許 ECDSA 簽名延展性和系統上的提升權限。I0U28資訊網——每日最新資訊28at.com

5.CVE-2020-7751 CVSS評分:9.8 嚴重程度:嚴重I0U28資訊網——每日最新資訊28at.com

Pathval 可能允許遠程攻擊者在系統上執行由原型污染缺陷引起的任意代碼。通過發送特制請求,攻擊者可以利用此漏洞在系統上執行任意代碼。I0U28資訊網——每日最新資訊28at.com

6.CVE-2020-8116 CVSS評分:9.8 嚴重程度:嚴重I0U28資訊網——每日最新資訊28at.com

Node.js dot-prop 可能允許遠程攻擊者在系統上執行由原型污染引起的任意代碼。通過發送特制請求,攻擊者可以利用此漏洞在系統上執行任意代碼或導致拒絕服務。I0U28資訊網——每日最新資訊28at.com

7.CVE-2019-20920 CVSS評分:9.8 嚴重程度:嚴重I0U28資訊網——每日最新資訊28at.com

Node.js 把手模塊可能允許遠程攻擊者在系統上執行任意代碼,這是由于查找幫助程序對模板的不正確驗證引起的。通過發送特制模板,攻擊者可以利用此漏洞在系統上執行任意代碼。I0U28資訊網——每日最新資訊28at.com

8.CVE-2019-19919 CVSS評分:9.8 嚴重程度:嚴重I0U28資訊網——每日最新資訊28at.com

Node.js 把手可能允許遠程攻擊者在系統上執行由原型污染缺陷引起的任意代碼。通過發送特制的有效載荷,攻擊者可以利用此漏洞在系統上執行任意代碼。I0U28資訊網——每日最新資訊28at.com

9.CVE-2020-7608 CVSS評分:9.8 嚴重程度:嚴重I0U28資訊網——每日最新資訊28at.com

Node.js yargs-parser 模塊可能允許遠程攻擊者在系統上執行任意代碼,這是由原型污染缺陷引起的。通過使用 __proto__ 有效負載添加或修改 Object.prototype 的屬性,攻擊者可以利用此漏洞在系統上執行任意代碼。I0U28資訊網——每日最新資訊28at.com

10.CVE-2020-7660 CVSS評分:9.8 嚴重程度:嚴重I0U28資訊網——每日最新資訊28at.com

serialize-javascript 可能允許遠程攻擊者在系統上執行任意代碼,這是由 index.js 中的 deleteFunctions 函數中的缺陷引起的。通過發送特制請求,攻擊者可以利用此漏洞在系統上注入和執行任意代碼。I0U28資訊網——每日最新資訊28at.com

11.CVE-2021-3918 CVSS評分:9.8 嚴重程度:嚴重I0U28資訊網——每日最新資訊28at.com

Json-schema 可能允許遠程攻擊者在系統上執行任意代碼,這是由于對對象原型屬性的不當控制修改造成的。通過發送特制請求,攻擊者可以利用此漏洞在系統上執行任意代碼。I0U28資訊網——每日最新資訊28at.com

12.CVE-2020-1747 CVSS評分:9.8 嚴重程度:嚴重I0U28資訊網——每日最新資訊28at.com

PyYAML 可能允許遠程攻擊者在系統上執行任意代碼,這是由于通過 full_load 方法或使用 FullLoader 加載程序處理不受信任的 YAML 文件時發生的錯誤引起的。通過濫用 python/object/new 構造函數,攻擊者可以利用此漏洞在系統上執行任意代碼。I0U28資訊網——每日最新資訊28at.com

13.CVE-2019-20477 CVSS評分:9.8 嚴重程度:嚴重I0U28資訊網——每日最新資訊28at.com

PyYAML 可能允許遠程攻擊者在系統上執行任意代碼,原因是對 load 和 load_all 函數的限制不足。通過發送特制請求,攻擊者可以利用此漏洞在系統上執行任意代碼。I0U28資訊網——每日最新資訊28at.com

14.CVE-2013-7459 CVSS評分:9.8 嚴重程度:嚴重I0U28資訊網——每日最新資訊28at.com

PyCrypto 容易受到基于堆的緩沖區溢出的影響,這是由 block_templace.c 中的 ALGnew 函數進行的不正確邊界檢查引起的。通過對 cryptmsg.py 使用特制的 iv 參數,遠程攻擊者可以溢出緩沖區并在系統上執行任意代碼或導致應用程序崩潰。I0U28資訊網——每日最新資訊28at.com

15.CVE-2020-7699 CVSS評分:9.8 嚴重程度:嚴重I0U28資訊網——每日最新資訊28at.com

express-fileupload 可能允許遠程攻擊者在系統上執行任意代碼,這是由啟用parseNested選項時的原型污染缺陷引起的。通過發送特制的 HTTP 請求,攻擊者可以利用此漏洞執行任意代碼或在系統上造成拒絕服務狀況。I0U28資訊網——每日最新資訊28at.com

受影響產品和版本I0U28資訊網——每日最新資訊28at.com

上述漏洞影響部署了IBM Spectrum Discover 2.0.4, 2.0.4.1, 2.0.4.2, 2.0.4.3, 2.0.4.4版本I0U28資訊網——每日最新資訊28at.com

解決方案I0U28資訊網——每日最新資訊28at.com

IBM Spectrum Discover升級至2.0.4.5升版本可修復。I0U28資訊網——每日最新資訊28at.com

查看更多漏洞信息 以及升級請訪問官網:I0U28資訊網——每日最新資訊28at.com

https://www.ibm.com/blogs/psirt/I0U28資訊網——每日最新資訊28at.com

本文鏈接:http://www.www897cc.com/showinfo-119-2243-0.html云安全日報220329:IBM現代元數據管理軟件發現執行任意代碼漏洞,需要盡快升級

聲明:本網頁內容旨在傳播知識,若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。郵件:2376512515@qq.com

上一篇: Meta已暫停在荷蘭的數據中心建設:因環境問題遭政府反對

下一篇: 美國防部推遲授予近90億美元云計算合同

標簽:
  • 熱門焦點
  • 鴻蒙OS 4.0公測機型公布:甚至連nova6都支持

    華為全新的HarmonyOS 4.0操作系統將于今天下午正式登場,官方在發布會之前也已經正式給出了可升級的機型產品,這意味著這些機型會率先支持升級享用。這次的HarmonyOS 4.0支持
  • 線程通訊的三種方法!通俗易懂

    線程通信是指多個線程之間通過某種機制進行協調和交互,例如,線程等待和通知機制就是線程通訊的主要手段之一。 在 Java 中,線程等待和通知的實現手段有以下幾種方式:Object 類下
  • 得物效率前端微應用推進過程與思考

    一、背景效率工程隨著業務的發展,組織規模的擴大,越來越多的企業開始意識到協作效率對于企業團隊的重要性,甚至是決定其在某個行業競爭中突圍的關鍵,是企業長久生存的根本。得物
  • Temu起訴SHEIN,跨境電商戰事升級

    來源 | 伯虎財經(bohuFN)作者 | 陳平安日前據外媒報道,拼多多旗下跨境電商平臺Temu正對競爭對手SHEIN提起新訴訟,訴狀稱Shein“利用市場支配力量強迫服裝廠商與之簽訂獨家
  • 2天漲粉255萬,又一賽道在抖音爆火

    來源:運營研究社作者 | 張知白編輯 | 楊佩汶設計 | 晏談夢潔這個暑期,旅游賽道徹底火了:有的「地方」火了——貴州村超旅游收入 1 個月超過 12 億;有的「博主」火了&m
  • 造車兩年股價跌六成,小米的估值邏輯變了嗎?

    如果從小米官宣造車后的首個交易日起持有小米集團的股票,那么截至2023年上半年最后一個交易日,投資者將浮虧59.16%,同區間的恒生科技指數跌幅為52.78%
  • 朋友圈可以修改可見范圍了 蘋果用戶可率先體驗

    近日,iOS用戶迎來微信8.0.27正式版更新,除了可更換二維碼背景外,還新增了多項實用功能。在新版微信中,朋友圈終于可以修改可見范圍,簡單來說就是已發布的朋友圈
  • 蘋果MacBook Pro 2021測試:仍不支持平滑滾動

    據10月30日9to5 Mac 消息報道,蘋果新的 14 英寸和 16 英寸 MacBook Pro 2021 上市后獲得了不錯的評價,亮點包括行業領先的性能,令人印象深刻的電池續航,精美豐
  • 電博會與軟博會實現"線下+云端"的雙線融合

    在本次“電博會”與“軟博會”雙展會利好條件的加持下,既可以發揮展會拉動人流、信息流、資金流實現快速交互流動的作用,繼而推動區域經濟良性發展;又可以聚
Top 主站蜘蛛池模板: 漯河市| 德庆县| 潼关县| 隆昌县| 方山县| 文水县| 桂东县| 清新县| 金溪县| 通辽市| 江口县| 家居| 抚宁县| 筠连县| 奉贤区| 商水县| 高清| 金坛市| 云安县| 无为县| 万州区| 南皮县| 易门县| 平山县| 兴化市| 阜阳市| 呼图壁县| 上栗县| 古田县| 柘荣县| 石河子市| 屏边| 且末县| 吉隆县| 和政县| 遂川县| 康乐县| 杭锦旗| 阳山县| 会泽县| 南开区|