IBM Sterling B2B Integrator是美國(guó)IBM公司的一套集成了重要的B2B流程、交易和關(guān)系的軟件。該軟件支持與不同的合作伙伴社區(qū)之間實(shí)現(xiàn)復(fù)雜的B2B流程的安全集成。FKz28資訊網(wǎng)——每日最新資訊28at.com

4月11日,IBM發(fā)布了安全更新,修復(fù)了IBM企業(yè)B2B平臺(tái)軟件中發(fā)現(xiàn)的執(zhí)行任意代碼漏洞。以下是漏洞詳情：FKz28資訊網(wǎng)——每日最新資訊28at.com

漏洞詳情FKz28資訊網(wǎng)——每日最新資訊28at.com

來源: https://www.ibm.com/support/pages/node/6570975FKz28資訊網(wǎng)——每日最新資訊28at.com

CVE-2022-22965 CVSS評(píng)分：9.8 嚴(yán)重程度:重要FKz28資訊網(wǎng)——每日最新資訊28at.com

Spring Framework 可能允許遠(yuǎn)程攻擊者在系統(tǒng)上執(zhí)行任意代碼，這是由于對(duì)與數(shù)據(jù)綁定一起使用的 PropertyDescriptor 對(duì)象的不當(dāng)處理引起的。通過向 Spring Java 應(yīng)用程序發(fā)送特制數(shù)據(jù)，攻擊者可以利用此漏洞在系統(tǒng)上執(zhí)行任意代碼。注意：該漏洞利用需要 Spring Framework 在 Tomcat 上作為 WAR 部署運(yùn)行，使用 JDK 9 或更高版本，使用 spring-webmvc 或 spring-webflux。注意：此漏洞也稱為 Spring4Shell 或 SpringShell。IBM Sterling B2B Integrator 受到Spring Framework 中遠(yuǎn)程代碼執(zhí)行的影響。FKz28資訊網(wǎng)——每日最新資訊28at.com

受影響產(chǎn)品和版本FKz28資訊網(wǎng)——每日最新資訊28at.com

IBM Sterling B2B Integrator 6.0.0.0 - 6.0.3.5, 6.1.0.0 - 6.1.0.4, 6.1.1.1版本FKz28資訊網(wǎng)——每日最新資訊28at.com

解決方案FKz28資訊網(wǎng)——每日最新資訊28at.com

IBM Sterling B2B Integrator 受到影響，但未被歸類為易受 Spring Framework 中遠(yuǎn)程代碼執(zhí)行 (CVE-2022-22965) 的影響，因?yàn)樗粷M足以下所有標(biāo)準(zhǔn)：1. JDK 9 或更高版本，2. Apache Tomcat 作為Servlet 容器，3. 打包為 WAR（與 Spring Boot 可執(zhí)行 jar 相比），4. Spring-webmvc 或 spring-webflux 依賴項(xiàng)，5. Spring Framework 版本 5.3.0 到 5.3.17、5.2.0 到 5.2.19 , 和舊版本。出于謹(jǐn)慎考慮，IBM官方將在未來的版本中升級(jí) Spring Framework。FKz28資訊網(wǎng)——每日最新資訊28at.com

查看更多漏洞信息 以及升級(jí)請(qǐng)?jiān)L問官網(wǎng)：FKz28資訊網(wǎng)——每日最新資訊28at.com

https://www.ibm.com/blogs/psirt/FKz28資訊網(wǎng)——每日最新資訊28at.com

本文鏈接：http://www.www897cc.com/showinfo-119-2273-0.html云安全日?qǐng)?bào)220412：IBM企業(yè)B2B平臺(tái)軟件發(fā)現(xiàn)執(zhí)行任意代碼漏洞,需要盡快升級(jí)

聲明：本網(wǎng)頁內(nèi)容旨在傳播知識(shí)，若有侵權(quán)等問題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系，我們將在第一時(shí)間刪除處理。郵件：2376512515@qq.com

上一篇： 云計(jì)算的未來，屬于“國(guó)家隊(duì)”？

下一篇： 谷歌高管解讀：如何在2030年之前100%使用無碳能源運(yùn)作數(shù)據(jù)中心