Az IBM javításokat ad ki a Java Runtime, Planning Analytics Workspace és Kenexa LMS számára

  • Oct 18, 2023

Az IBM biztonsági javításokat adott ki a technológiai óriás vállalati szoftvermegoldásait érintő, nagy és közepes súlyosságú hibák megoldására.

Biztonság

  • A rendkívül biztonságos távoli dolgozók 8 szokása
  • A kémprogramok megtalálása és eltávolítása a telefonról
  • A legjobb VPN-szolgáltatások: Hogyan hasonlítható össze az első 5?
  • Hogyan lehet kideríteni, hogy érintett-e adatvédelmi incidens – és mi a következő lépés

Ezen a héten a technológiai óriás biztonsági tanácsokat tett közzé, amelyek az IBM Java Runtime, az IBM Planning Analytics Workspace és az IBM Kenexa LMS On Premise sérülékenységét érintő sérülékenységek javítását tartalmazzák.

A első tanácsadó a CVE-2020-14782 és CVE-2020-27221 címek, az IBM Runtime Environment Java 7 és 8 két biztonsági hibája, amelyeket az IBM Integration Designer -- vállalati használ. szoftver adatok és alkalmazások meglévő üzleti folyamatokba való integrálására – az IBM Business Automation Workflow és Business Process Manager szoftverében lakosztályok.

A CVE-2020-14782 egy hiba a Java SE könyvtár-összetevőjében, amely lehetővé teheti a támadók számára, hogy feltörjék a Java SE-t több protokoll, de ennek aktiválásához sandbox környezetre van szükség, és ezért nehézkes kihasználni.

A CVE-2020-27221 azonban sokkal nagyobb aggodalomra ad okot, és a CVSS alappontszáma 9,8, ami kritikus értékelés. Ez a veremalapú puffertúlcsordulást okozó biztonsági rés az Eclipse OpenJ9-hez kapcsolódik, és távoli támadók tetszőleges kód futtatására vagy alkalmazás összeomlásához használhatják.

A második tanácsadó az IBM Planning Analytics Workspace-re összpontosít, amely a Planning Analytics összetevője, a cég együttműködési és menedzsmenttervező szoftvere. Összesen öt, a szoftvert érintő sebezhetőséget sikerült kijavítani, köztük a Node.js HTTP-kérésekkel kapcsolatos problémát (CVE-2020-8201), CVE-2020-8251 -- egy Node.js szolgáltatásmegtagadási hiba -- és egy Node.js puffertúlcsordulási hiba (CVE-2020-8252), amelyet a támadók kihasználhatnak a végrehajtásra tetszőleges kód.

Két további sebezhetőség, egy adatintegritás-gyengeség, amely a FasterXML Jackson Databind (CVE-2020-25649) XML külső entitás (XXE) támadásaival váltható ki, és A CVE-2020-4953, a Workspace problémája, amely lehetővé teheti a távoli – de hitelesített – támadók számára a HTTP-válaszokban megjelenő érzékeny adatok ellopását. megbirkózni.

Az IBM is közzétette a biztonsági tanácsadás az IBM Kenexa LMS On Premise vállalati tanulásfelügyeleti rendszert érintő biztonsági rések leírása. Összesen öt kis hatású hibát javítottak ki, amelyek mindegyike a Java SE használatához kapcsolódik, és problémákhoz vezethet, beleértve a szolgáltatás megtagadását és az esetleges adatlopást, ha más támadással kombinálják vektorok.

A múlt héten az IBM biztonsági közleményeket adott ki az IBM számára Spectrum szimfónia 7.3.1 és IBM Spektrumvezető 2.5.0 és frissítések harmadik féltől származó könyvtárakra, amelyek érzékenyek a sebezhetőségek széles skálájára.

Korábbi és kapcsolódó tudósítások

  • A Masslogger trójai programot újra feltalálták az Outlook és a Chrome hitelesítő adatainak ellopására
  • Az Apple iCloud tartományban tárolt XSS-hibát a hibavadász fedte fel
  • Kínai hackerek klónozták az NSA Equation Groupjához tartozó támadási eszközt

Van tipped? Vegye fel a kapcsolatot biztonságosan a WhatsApp-on keresztül | Jelzés a +447713 025 499 számon vagy a Keybase-en: charlie0