| 首页  |  资讯  |  评测  |  活动  |  学院  |  专题  |  杂志  |  产服  |  
您现在的位置:硅谷网> 资讯> 安全>

IBM MQ消息中间件平台发现执行任意代码漏洞

2022-05-17 20:28 作者:Aaron 来源:硅谷网综合 关注: 编辑:GuiGu 【搜索试试

2022年5月16日,IBM发布了安全更新,修复了IBM MQ企业级消息中间件平台中发现的执行任意代码等高危漏洞。以下是漏洞详情:

漏洞详情

来源: https://www.ibm.com/support/pages/node/6586492

1.CVE-2022-23852 CVSS评分:9.8 严重程度:重要

Expat(又名 libexpat)可能允许远程攻击者在系统上执行任意代码,这是由 XML_GetBuffer 函数中的整数溢出引起的。通过发送特制请求,攻击者可以利用此漏洞在系统上执行任意代码。

2.CVE-2021-42574 CVSS评分:9.8 严重程度:重要

Unicode可能允许远程攻击者在系统上执行任意代码,这是由 unicode 规范中的双向算法缺陷引起的。通过创建包含正确放置的双向字符的恶意补丁,攻击者可以利用此漏洞在系统上执行任意代码。注意:此漏洞也会影响 Rust。

3.CVE-2022-22824 CVSS评分:7.8 严重程度:重要

Expat可能允许远程攻击者在系统上执行任意代码,这是由 xmlparse.c 中的 defineAttribute 整数溢出引起的。通过说服受害者打开特制文件,攻击者可以利用此漏洞在系统上执行任意代码。

4.CVE-2022-22823 CVSS评分:7.8 严重程度:重要

Expat 可能允许远程攻击者在系统上执行任意代码,这是由 xmlparse.c 中的 build_model 整数溢出引起的。通过说服受害者打开特制文件,攻击者可以利用此漏洞在系统上执行任意代码。

5.CVE-2022-22826 CVSS评分:7.8 严重程度:重要

Expat 可能允许远程攻击者在系统上执行任意代码,这是由 xmlparse.c 中的 nextScaffoldPart 整数溢出引起的。通过说服受害者打开特制文件,攻击者可以利用此漏洞在系统上执行任意代码。

6.CVE-2022-22827 CVSS评分:7.8 严重程度:重要

Expat 可能允许远程攻击者在系统上执行任意代码,这是由 xmlparse.c 中的 storeAtts 整数溢出引起的。通过说服受害者打开特制文件,攻击者可以利用此漏洞在系统上执行任意代码。

7.CVE-2022-22822 CVSS评分:7.8 严重程度:重要

Expat 可能允许远程攻击者在系统上执行任意代码,这是由 xmlparse.c 中的 addBinding 整数溢出引起的。通过说服受害者打开特制文件,攻击者可以利用此漏洞在系统上执行任意代码。

受影响产品和版本

IBM MQ Operator CD release 1.8.0

IBM MQ Operator EUS release 1.3.2

IBM Supplied MQ Advanced Queue Manager Container images 9.2.5.0-r1, 9.2.0.4-r1

解决方案

IBM MQ Operator v1.8.1 CD(升级至如下版本可修复):

ibm-mq-operator v1.8.1

ibm-mqadvanced-server 9.2.5.0-r2

ibm-mqadvanced-server-integration 9.2.5.0-r2

ibm-mqadvanced-server-dev 9.2.5.0-r2

IBM MQ Operator v1.3.3 EUS(升级至如下版本可修复):

ibm-mq-operator v1.3.3

ibm-mqadvanced-server-integration 9.2.0.5-r1-eus

查看更多漏洞信息 以及升级请访问官网:

https://www.ibm.com/blogs/psirt/

【对“IBM MQ消息中间件平台发现执行任意代码漏洞”发布评论】

版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
广告
相关
·IBM云原生数据和AI平台发现执行任意代码漏洞
·Ubuntu Redis数据库发现执行任意代码漏洞 需要尽
·红帽Jboss中间件平台发现执行任意代码漏洞,需要
·IBM网管解决方案发现执行任意代码漏洞 需要尽快
·XStream Java序列化库发现执行任意代码漏洞需要
·IBM企业文件交付解决方案发现执行任意代码漏洞
·IBM分布式应用企业管理软件发现执行任意代码漏洞
·IBM分布式高速缓存解决方案发现执行任意代码漏洞
头条
警惕!网络诈骗盯上中小学生 隔空“遥控”骗钱财 警惕!网络诈骗盯上中小学生 隔空“遥控”骗
2022年4 月 18 日消息,据央视报道,近期,在广东、江西、江苏等地相继发生针对中小学……
·警惕!网络诈骗盯上中小学生 隔空“遥控”骗
·由于隐私问题 苹果取消了让用户使用Siri进行
·苹果公司以“隐私法薄弱”为理由退出一个隐私
·Facebook动态消息News Feed因算法漏洞连推糟
·丰田汽车主要供应商Denso遭遇网络攻击被勒索
图文
众安天下创始人杨蔚被聘为工联众测平台首批特聘专家
众安天下创始人杨蔚被聘为工联众测平台首批
数字化时代,快消行业面临三大API安全挑战
数字化时代,快消行业面临三大API安全挑战
区块链骗局都有哪些?区块链下有人暴富有人破产!
区块链骗局都有哪些?区块链下有人暴富有人
2019年网络安全生态峰会举行 智慧共享互信共治
2019年网络安全生态峰会举行 智慧共享互信
热点
·全国多所高校电脑遭病毒绑架 需要关闭445端口
·区块链骗局都有哪些?区块链下有人暴富有人破
·2019年网络安全生态峰会举行 智慧共享互信共
·苏宁京东接连中招,双十一在即这个套路要小心
·没了乌云谁还敢随便使用那些不安全的网络平台
旧闻
·腾讯安全专家溯源解密“敲诈木马”如何防御
·亚马逊CEO贝索斯手机遭黑客入侵 联合国要求调
·东方龙马:一篇文章告诉你IT运维技术将何去何
·腾讯安全斩获2018国内三大安全赛事大满贯
·腾讯电脑管家预警:AMD录屏软件存在高危安全
广告
硅谷精选
众安天下创始人杨蔚被聘为工联众测平台首批特聘专家
众安天下创始人杨蔚被聘为工联众测平台首批特聘专家
数字化时代,快消行业面临三大API安全挑战
数字化时代,快消行业面临三大API安全挑战
锐成SSL证书周年庆特惠来袭 72元起实现网站HTTPS安全防护!
锐成SSL证书周年庆特惠来袭 72元起实现网站HTTPS安全
螳螂科技获ISO9001和ISO27001体系认证信息安全与质量实力获认可
螳螂科技获ISO9001和ISO27001体系认证信息安全与质量
警惕!网络诈骗盯上中小学生 隔空“遥控”骗钱财
警惕!网络诈骗盯上中小学生 隔空“遥控”骗钱财
众安天下入选工信部移动互联网APP产品安全漏洞库第二批支撑单位
众安天下入选工信部移动互联网APP产品安全漏洞库第二
关于我们·About | 联系我们·contact | 加入我们·Join | 关注我们·Invest | Site Map | Tags | RSS Map
电脑版·PC版 移动版·MD版 网站热线:(+86)010-57255600
Copyright © 2007-2021 硅谷网. 版权所有. All Rights Reserved. <备案号:京ICP备12003855号-2>