IBM Spectrum Discover是IBM公司一款現代化元數據管理軟件,它可以為EB級的非結構化數據存儲提供數據洞察。它可以快速抓取、整理和索引數十億個文件和對象的元數據,然后在這些數據源之上提供一個高效的、豐富的元數據索引庫和集中管理層。這將極大的改進大數據分析過程,加快關鍵研究的速度,提高存儲的經濟性,降低風險,從而創造企業競爭優勢。
3月28日,IBM發布了安全更新,修復了IBM Spectrum Discover中發現的執行任意代碼重要漏洞。以下是漏洞詳情:
漏洞詳情
來源: https://www.ibm.com/support/pages/node/6566889
1.CVE-2020-7720 CVSS評分:9.8 嚴重程度:嚴重
Node.js node-forge 模塊可能允許遠程攻擊者在系統上執行任意代碼,這是由 util.setPath 函數中的原型污染缺陷引起的。通過發送特制請求,攻擊者可以利用此漏洞在系統上執行任意代碼。
2.CVE-2021-43616 CVSS評分:9.8 嚴重程度:嚴重
NPM 可能允許遠程攻擊者在系統上執行任意代碼,這是由于安裝持續進行而導致的問題,而 package-lock.json 中的依賴信息與 ci 命令中的 package.json 不同。通過發送特制請求,攻擊者可以利用此漏洞在系統上執行任意代碼。
3.CVE-2020-15366 CVSS評分:9.8 嚴重程度:嚴重
Ajv(又名另一個 JSON Schema Validator)可能允許遠程攻擊者在系統上執行任意代碼,這是由 ajv.validate 函數中的原型污染缺陷引起的。通過發送特制數據,攻擊者可以利用此漏洞在系統上執行任意代碼。
4.CVE-2020-13822 CVSS評分:9.8 嚴重程度:嚴重
Node.js 的 Elliptic 包可能允許遠程攻擊者在系統上獲得提升的權限。通過使用編碼變化、前導 '/0' 字節或整數溢出,攻擊者可以利用此漏洞來允許 ECDSA 簽名延展性和系統上的提升權限。
5.CVE-2020-7751 CVSS評分:9.8 嚴重程度:嚴重
Pathval 可能允許遠程攻擊者在系統上執行由原型污染缺陷引起的任意代碼。通過發送特制請求,攻擊者可以利用此漏洞在系統上執行任意代碼。
6.CVE-2020-8116 CVSS評分:9.8 嚴重程度:嚴重
Node.js dot-prop 可能允許遠程攻擊者在系統上執行由原型污染引起的任意代碼。通過發送特制請求,攻擊者可以利用此漏洞在系統上執行任意代碼或導致拒絕服務。
7.CVE-2019-20920 CVSS評分:9.8 嚴重程度:嚴重
Node.js 把手模塊可能允許遠程攻擊者在系統上執行任意代碼,這是由于查找幫助程序對模板的不正確驗證引起的。通過發送特制模板,攻擊者可以利用此漏洞在系統上執行任意代碼。
8.CVE-2019-19919 CVSS評分:9.8 嚴重程度:嚴重
Node.js 把手可能允許遠程攻擊者在系統上執行由原型污染缺陷引起的任意代碼。通過發送特制的有效載荷,攻擊者可以利用此漏洞在系統上執行任意代碼。
9.CVE-2020-7608 CVSS評分:9.8 嚴重程度:嚴重
Node.js yargs-parser 模塊可能允許遠程攻擊者在系統上執行任意代碼,這是由原型污染缺陷引起的。通過使用 __proto__ 有效負載添加或修改 Object.prototype 的屬性,攻擊者可以利用此漏洞在系統上執行任意代碼。
10.CVE-2020-7660 CVSS評分:9.8 嚴重程度:嚴重
serialize-javascript 可能允許遠程攻擊者在系統上執行任意代碼,這是由 index.js 中的 deleteFunctions 函數中的缺陷引起的。通過發送特制請求,攻擊者可以利用此漏洞在系統上注入和執行任意代碼。
11.CVE-2021-3918 CVSS評分:9.8 嚴重程度:嚴重
Json-schema 可能允許遠程攻擊者在系統上執行任意代碼,這是由于對對象原型屬性的不當控制修改造成的。通過發送特制請求,攻擊者可以利用此漏洞在系統上執行任意代碼。
12.CVE-2020-1747 CVSS評分:9.8 嚴重程度:嚴重
PyYAML 可能允許遠程攻擊者在系統上執行任意代碼,這是由于通過 full_load 方法或使用 FullLoader 加載程序處理不受信任的 YAML 文件時發生的錯誤引起的。通過濫用 python/object/new 構造函數,攻擊者可以利用此漏洞在系統上執行任意代碼。
13.CVE-2019-20477 CVSS評分:9.8 嚴重程度:嚴重
PyYAML 可能允許遠程攻擊者在系統上執行任意代碼,原因是對 load 和 load_all 函數的限制不足。通過發送特制請求,攻擊者可以利用此漏洞在系統上執行任意代碼。
14.CVE-2013-7459 CVSS評分:9.8 嚴重程度:嚴重
PyCrypto 容易受到基于堆的緩沖區溢出的影響,這是由 block_templace.c 中的 ALGnew 函數進行的不正確邊界檢查引起的。通過對 cryptmsg.py 使用特制的 iv 參數,遠程攻擊者可以溢出緩沖區并在系統上執行任意代碼或導致應用程序崩潰。
15.CVE-2020-7699 CVSS評分:9.8 嚴重程度:嚴重
express-fileupload 可能允許遠程攻擊者在系統上執行任意代碼,這是由啟用parseNested選項時的原型污染缺陷引起的。通過發送特制的 HTTP 請求,攻擊者可以利用此漏洞執行任意代碼或在系統上造成拒絕服務狀況。
受影響產品和版本
上述漏洞影響部署了IBM Spectrum Discover 2.0.4, 2.0.4.1, 2.0.4.2, 2.0.4.3, 2.0.4.4版本
解決方案
IBM Spectrum Discover升級至2.0.4.5升版本可修復。
查看更多漏洞信息 以及升級請訪問官網:
https://www.ibm.com/blogs/psirt/
本文鏈接:http://www.www897cc.com/showinfo-119-2243-0.html云安全日報220329:IBM現代元數據管理軟件發現執行任意代碼漏洞,需要盡快升級
聲明:本網頁內容旨在傳播知識,若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。郵件:2376512515@qq.com
上一篇: Meta已暫停在荷蘭的數據中心建設:因環境問題遭政府反對
下一篇: 美國防部推遲授予近90億美元云計算合同