WebSphere XML外部實體注入(XXE)漏洞(CVE-2020-4643)處置手冊
  • 信息來源:信息和安全科
  • 作者:
  • 發布日期:2020-09-27 17:40:17
  • 閱讀:
【字體:   】

  一.漏洞概述

  近日,IBM官方發布通告修復了WebSphereApplicationServer(WAS)中的一個XML外部實體注入(XXE)漏洞(CVE-2020-4643),由于WAS未正確處理XML數據,攻擊者可以利用此漏洞遠程獲取服務器上的敏感信息。

  CVE-2020-4643由綠盟科技安全研究團隊報告給IBM,可以與CVE-2020-4450組合利用達到無需身份認證的XXE漏洞,造成服務器敏感信息泄露,利用復雜度較低,風險較高。請相關用戶盡快采取措施進行防護。

  WebSphereApplicationServer是企業級Web中間件,由于其可靠、靈活和健壯的特點,被廣泛應用于企業的Web服務中。

  無需身份認證讀取服務器信息復現截圖:

  參考鏈接:

  https://www.ibm.com/support/pages/security-bulletin-websphere-application-server-vulnerable-information-exposure-vulnerability-cve-2020-4643

  二.影響范圍

  受影響版本

  WebSphereApplicationServer9.0.0.0-9.0.5.5

  WebSphereApplicationServer8.5.0.0-8.5.5.17

  WebSphereApplicationServer8.0.0.0-8.0.0.15

  WebSphereApplicationServer7.0.0.0-7.0.0.45

  注:WebSphereApplicationServerV7.0和V8.0官方已停止維護。

  三.漏洞檢測

  3.1版本檢測

  相關用戶可通過版本檢測的方式判斷當前應用是否存在風險。

  方法一:登錄websphere管理平臺首頁查看版本信息。

  若當前使用版本在受影響范圍內,則可能存在安全風險。

  方法二:進入/opt/IBM/WebSphere/AppServer/bin目錄下,執行./versionInfo.sh即可查看當前版本,查看Package日期,如果低于20200902則說明存在安全風險。

  ./versionInfo.sh

  3.2產品檢測

  綠盟科技遠程綜合威脅探針(UTS)已具備對此漏洞的檢測能力,請有部署設備的用戶升級至最新版本。

  安全檢測產品

升級包版本號

升級包下載鏈接

UTS

5.6.10.23620

http://update.nsfocus.com/update/downloads/id/108759

  四.漏洞防護

  4.1官方升級

  目前官方已發布補丁修復了該漏洞,對于已停止維護的版本也提供了安全補丁,請受影響的用戶盡快安裝進行防護。

  相關用戶可通過IBM InstallationManager進行升級,根據提示進行版本更新、補丁安裝。

  用戶也可至官網手動下載補丁并安裝。

  受影響版本

修復方法

補丁下載鏈接

9.0.0.0 -9.0.5.5

安裝補丁PH27509

https://www.ibm.com/support/pages/node/6333617

8.5.0.0 -8.5.5.17

安裝補丁PH27509

8.0.0.0 -8.0.0.15

升級至8.0.0.15版本,并安裝補丁PH27509

7.0.0.0 -7.0.0.45

升級至7.0.0.45版本,并安裝補丁PH27509

  注:安裝補丁之前請先關閉WebSphere服務,安裝完成后再將服務開啟。

  4.2產品防護

  針對此漏洞,綠盟科技網絡入侵防護系統(IPS)已發布規則升級包,請相關用戶升級至最新版本規則,以形成安全產品防護能力。安全防護產品規則版本號如下:

  安全防護產品

規則版本號

升級包下載鏈接

IPS

5.6.9.23620

http://update.nsfocus.com/update/downloads/id/108741

5.6.10.23620

http://update.nsfocus.com/update/downloads/id/108742

  產品規則升級的操作步驟詳見如下鏈接:

  IPS:https://mp.weixin.qq.com/s/JsRktENQNj1TdZSU62N0Ww

  聲明

  本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。

  綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

  ——轉自綠盟科技

午夜神器成在线人成在线人-午夜神器A片免费看