IBM Security Guardium是IBM公司的一套提供数据保护功能的平台。该平台包括自定义UI、报告管理和流线化的审计流程构建等功能。
8月9日,IBM发布了安全更新,修复了IBM Security Guardium数据保护平台中发现的跨站脚本攻击等重要漏洞。以下是漏洞详情:
漏洞详情
来源: https://www.ibm.com/support/pages/node/6455281
1.CVE-2020-15049 CVSS评分:9.9 严重程度:重要
Squid-Cache Squid 很容易受到 HTTP 请求走私的影响,这是由不正确的输入验证引起的。通过发送特制的 HTTP(S) 请求消息,攻击者可以利用此漏洞毒化 Web 缓存,绕过 Web 应用程序防火墙保护,并进行XSS(跨站脚本攻击)攻击。
2.CVE-2020-8450 CVSS评分:9.8 严重程度:重要
由于不正确的边界检查,squid容易受到缓冲区溢出的影响。通过发送特制的请求,远程攻击者可以溢出缓冲区并执行任意代码或在系统上导致拒绝服务条件。
3.CVE-2020-15049 CVSS评分:9.6 严重程度:重要
Squid-Cache Squid 很容易受到 HTTP 请求走私的影响,这是由不正确的输入验证引起的。通过发送特制的 HTTP(S) 请求消息,攻击者可以利用此漏洞毒化 Web 缓存,绕过 Web 应用程序防火墙保护,并进行XSS(跨站脚本攻击)攻击。
4.CVE-2019-12749 CVSS评分:9.1 严重程度:重要
D-Bus 可能允许远程攻击者绕过由 libdbus 库中 DBUS_COOKIE_SHA1 的参考实现中的符号链接错误处理引起的安全限制。通过操纵 ~/.dbus-keyrings 符号链接,攻击者可以利用此漏洞绕过 DBUS_COOKIE_SHA1 身份验证,从而允许具有不同 uid 的 DBusServer 在任意位置读取和写入。
5.CVE-2020-24606 CVSS评分:8.6 严重程度:重要
Squid 容易受到拒绝服务的攻击,这是由 peer_digest.cc 中的 peerDigestHandleReply 函数中的 EOF 处理不当引起的。通过发送特制的缓存摘要响应消息,远程攻击者可以利用此漏洞消耗所有可用的 CPU 周期。
6.CVE-2021-20385 CVSS评分:8.4 严重程度:重要
IBM Security Guardium 可能允许经过远程身份验证的攻击者在系统上执行任意命令。通过发送特制的请求,攻击者可以利用该漏洞在系统上执行任意命令.
受影响的产品和版本
IBM Security Guardium 11.2, 11.3版本
解决方案
对于IBM Security Guardium 11.2:
参考官方如下地址修复
http://www.ibm.com/support/fixcentral/swg/quickorder?parent=IBM%20Security&product=ibm/Information+Management/InfoSphere+Guardium&release=11.0&platform=Linux&function=fixId&fixids=SqlGuard_11.0p250_Bundle_Jul-14-2021&include&include =fc
对于IBM Security Guardium 11.3:
参考官方如下地址修复
http://www.ibm.com/support/fixcentral/swg/quickorder?parent=IBM%20Security&product=ibm/Information+Management/InfoSphere+Guardium&release=11.0&platform=All&function=fixId&fixids=SqlGuard_11.0p315_Bundle_May-21-2021&includeSupers =fc
查看更多漏洞信息 以及升级请访问官网:
https://www.ibm.com/blogs/psirt/
Ubuntu是一个以桌面应用为主的Linux操作系统。它是一个开放源代码的自由软件,提供了一个健壮、功能丰富的计算环境,既适合家庭使用又适用于商业环境。Ubuntu将为全球数百个公司提供商业支持。 ...
查看全文Docker采取了一种保守的方法来清理未使用的对象(通常称为“垃圾收集”),例如图像,容器,卷和网络:除非您明确要求Docker这样做,否则通常不会删除这些对象。这可能会导致Docker使用额外的磁盘空...
查看全文新浪科技讯 北京时间5月27日晚间消息,据报道,四位知情人士今日透露,亚马逊、微软和谷歌这三大云计算服务提供商,正在竞争波音公司(Boeing)价值10亿美元的云服务合同。 这些...
查看全文新浪科技讯 北京时间5月27日晚间消息,据报道,多位知情人士今日称,继加州、纽约州和华盛顿州之后,马萨诸塞州和宾夕法尼亚州的总检察长也加入到对亚马逊的反垄断调查中。 如今,越来越...
查看全文
您好!请登录