首页 > 动态 > 关键词  > IBM最新资讯  > 正文

IBM 多款产品爆出漏洞,或严重影响银行等金融机构

2020-08-04 15:45 · 稿源: TechWeb.com.cn

IBM是全球最大的信息技术和业务解决方案公司,其全球能力包括服务、软件、硬件系统、研发及相关融资支持。IBM始终以超前的技术、出色的管理和独树一帜的产品领导着信息产业的发展,保证了世界范围内几乎所有行业用户对信息处理的全方位需求。

IBM

不过IBM于7月31日发布了安全公告,IBM 旗下多款产品存在大量漏洞,或严重影响银行等金融机构。以下是漏洞详情:

一.金融事务管理器(FTM HVP)

IBM Financial Transaction Manager for High Value Payments for Multi-Platform(FTM HVP)是美国IBM公司的一款适用于多平台的金融事务管理器。该产品主要用于银行等金融机构来监控、跟踪和报告金融支付和交易。

漏洞详情

1.跨站脚本漏洞(CVE-2020-4560)

IBM Financial Transaction Manager 3.2.4容易受到跨站点脚本的攻击。此漏洞允许用户在Web UI中嵌入任意JavaScript代码,从而改变预期的功能,从而可能导致可信会话中的凭据泄露。

2.SQL注入漏洞(CVE-2020-4328)

IBM Financial Transaction Manager 3.2.4容易受到SQL注入的攻击。远程攻击者可以发送特制的SQL语句,这可能使攻击者可以查看,添加,修改或删除后端数据库中的信息。

漏洞修复

FTM HVP升级至: 3.2.4.0-FTM-HVP-MP-iFix0001 可修复上述两个漏洞

二.应用服务器WAS

IBM WebSphere Application Server(WAS)是美国IBM公司的一款应用服务器产品。该产品是JavaEE和Web服务应用程序的平台,也是IBMWebSphere软件平台的基础。IBM WAS中存在安全漏洞。

漏洞详情

远程攻击漏洞(CVE-2020-4534)

IBM WAS可能允许本地经过身份验证的攻击者获得由于对UNC路径的不正确处理而导致的系统特权提升。通过使用特制的UNC路径调度任务,攻击者可以利用此漏洞执行具有更高特权的任意代码。

受到影响产品及版本:

IBM WAS 9.0版本,8.5版本,8.0版本, 7.0版本。

漏洞修复

对于传统的WebSphere Application Server和WebSphere Application Server Hypervisor Edition:

对于V9.0.0.0到9.0.5.4:·

根据临时修订要求升级到最低修订包级别,然后应用临时修订PH26083-

或应用修订包9.0.5.5或更高版本(目标可用性为3Q2020)。

对于V8.5.0.0到8.5.5.17:

根据临时修订要求升级到最低修订包级别,然后应用临时修订PH26083-

或应用修订包8.5.5.18或更高版本(目标可用性3Q2020)。

对于V8.0.0.0到8.0.0.15:升级到8.0.0.15,然后应用临时修订PH26083

对于V7.0.0.0到7.0.0.45:升级到7.0.0.45,然后应用临时修订PH26083

三. i2 Analysts Notebook数据可视化分析工具

IBM i2 Analysts Notebook是美国IBM公司的一款数据可视化分析工具。该产品支持数据存储和数据分析等功能。

1.内存损坏漏洞(CVE-2020-4549/CVE-2020-4550/CVE-2020-4551/CVE-2020-4552/CVE-2020-4553/CVE-2020-4554)

IBM i2 Analyst的Notebook可能允许本地攻击者在系统上执行由内存损坏引起的任意代码。通过诱使受害者打开特制文件,攻击者可以利用此漏洞在系统上执行任意代码。

受影响产品及版本:

IBM i2 Analyst的Notebook 9.2.1

IBM i2 Analyst的Notebook Premium 9.2.1

漏洞修复

在线升级到最新程序包可修复此漏洞

四.Cognos Analytics商业智能软件

IBM Cognos Analytics是美国IBM公司的一套商业智能软件。该软件包括报表、仪表板和记分卡等,并可通过分析关键因素与关键人等内容,协助企业调整决策。

IBM Cognos Analytics中jQuery UI容易受到跨站点脚本的攻击,这是由用户提供的输入的不正确验证引起的。一旦单击URL,远程攻击者便可以使用特制URL中的title参数利用此漏洞在宿主Web站点的安全上下文中在受害者的Web浏览器中执行脚本。攻击者可能利用此漏洞窃取受害者基于Cookie的身份验证凭据。

漏洞详情

1.特权升级漏洞(CVE-2019-4589)

IBM Cognos Analytics容易受到特权升级的影响,在该特权升级中,“我的日程安排和订阅”页面可见,并且特权较低的用户可以访问该页面。

2. 信息泄露漏洞(CVE-2019-4366)

IBM Cognos Analytics容易受到信息泄露漏洞的攻击,攻击者可能会利用该漏洞访问缓存的浏览器数据。

3.XML注入漏洞(CVE-2020-4377)

IBM Cognos Anaytics在处理XML数据时容易受到XML外部实体注入(XXE)攻击。远程攻击者可能利用此漏洞来泄露敏感信息或消耗内存资源。

受影响产品及版本:

IBM Cognos Analytics 11.1

IBM Cognos Analytics 11.0(11.0.13 FP2之前的版本)

漏洞修复

对于IBM Cognos Analytics 11.1.x:

推荐的解决方案是尽快对列出的版本应用此修复程序。

下载IBM Cognos Analytics 11.1.7.0

对于IBM Cognos Analytics 11.0.x:

IBM Cognos Analytics 11.0.x仅易受CVE-2016-7103的攻击,这仅适用于IBM Cognos Analytics 11.0.13 FP2之前的版本。

推荐的解决方案是应用IBM Cognos Analytics 11.0.x的最新可用版本。

IBM Cognos Analytics 11.0.13修订包3

  • 相关推荐
  • 大家在看
  • IBM中国揭秘首款2nm芯片:最小部分比DNA单链还迷你

    IBM中国日前发布视频,题为《YYDS!IBM发布全球首个2nm芯片》。据介绍,今年5月,IBM宣布研制出全球首颗2nm芯片,这是继5nm、7nm首发后,IBM在半导体领域的又一重大创新。IBM在视频中透露,这颗芯片中的最小单元甚至比DNA单链还要小。据悉,硅晶圆由IBM研究院在其位于美国纽约州奥尔巴尼半导体研究机构设计和生产,它包含数百个指甲大小的芯片,每颗芯片可容纳500亿个2nm晶体管。指标方面,2nm比7nm的性能提升了45%,能耗更是减少7

  • SCO诉IBM的Linux诉讼案最终画上句号

    在SCO破产之后;一个又一个的法院驳回了SCO疯狂的版权要求。在这个传奇故事接近20年的时候,美国犹他州地区法院终于为SCO对IBM的诉讼画上了句号。在这个问题上的所有索赔和反诉,无论是否被指控,是否被申辩,都已经完全解决。法院裁决显示,法院批准双方的动议。本诉讼中的所有索赔和反索赔,无论是否被指控,是否被申辩,都已全部解决。各方应自行承担各自的费用和开支,包括律师费。早些时候,一直监督SCO破产的美国特拉华地区?

  • IBM推出127量子比特的量子处理器:2年后将实现量子霸权

    全球都在争相研发更先进的量子计算机,IBM已经在此领域领先多年,现在他们推出了全球首个超过100量子比特的量子芯片Eagle,拥有127个量子比特,2年后还将推出超过1000个量子比特的芯片,届时就会实现量子霸权。量子比特是衡量量子计算机性能的重要指标,不同于电子计算机只能是0或者1二选一的状态,量子比特可以同时是0或者1,所以其计算性能更强大,而且增加量子比特就可以指数级提升性能。IBM这次发布的Eagle量子芯片拥有127个量

  • 国产BI厂商崛起!Tableau退出我国市场,我们还有Smartbi

    就在最近,国际上知名的BI企业Tableau突然向全体客户发出了一封邮件,声称从 2021 年 11 月 17 日起停止在中国大陆的直接经营活动,并将在明年 1 月 31 日终止在中国大陆的现有合作伙伴关系。其产品在中国区的销售将由阿里接手,整合到Salesforce与阿里的合作体系中。此举意味着Tableau在进入中国 7 年,被Salesforce收购 2 年后,正式退出中国市场。一切都来得如此突然!作为BI领域全球领导品牌,Tableau曾经在中国市场攻城掠地,

  • B站版QQ秀?B站看板娘功能内测 装扮道具需使用B币付费

    据Tech星球报道,近期,不少网友收到了“看板娘测试邀请”,计划测试虚拟人物养成功能。从官方的介绍可以看出,B站计划将标志性虚拟人物“看板娘”搬到用户个人主页中,用户可以像QQ秀一样,对看板娘本人和看板娘的家进行打扮。

  • 在OBS Studio强烈反对后 Streamlabs承诺在名称中删除“OBS”

    遭到流媒体和开源直播平台 OBS Studio 强烈反对之后,Streamlabs 已承诺从其直播软件 Streamlabs OBS 的名称中删除“OBS”。OBS Studio 表示,它之所以要求 Streamlabs 不要使用这个名字,是因为“OBS”代表着“开放直播软件”(Open Broadcaster Software),是该平台独有的。这项争议始于另一家直播应用程序制造商 Lightstream 发布的推文,在推文中写道:“嘿,我可以抄你的作业吗?”,暗示 Streamlabs 复制了 Lightstream。Li

  • SmartBCH首个DEX BenSwap登陆虎符交易所 Hoo Labs将重磅开启EBEN空投

    据虎符交易所官方消息, 11 月 23 号15:00- 11 月 24 号15:00(UTC+8),虎符交易所Hoo Labs重磅开放EBEN超级投模式,用户可以在虎符交易所的Hoo Labs参与EBEN的IEO认购,IEO认购价为1USDT。此次认购采?超级投模式,最低100USDT额度,最高10,000USDT额度。认购结束后,用户将获得对应数额的EBEN通证及100%的 USDT 退款。(图片来自虎符交易所官网)BenSwap是SmartBCH链上的第一个去中心化交易所(DEX),也是TVL规模最大的DEX,

  • Beats宣布限量版Union x Beats Studio Buds

    Beats by Dre今天宣布与洛杉矶美国服装店联盟合作推出限量版的Beats Studio Bubes。这些产品将于2021年12月1日在美国和日本上市

  • 超千名员工要求动视暴雪CEO Bobby Kotick下台

    在股东表达了对 Bobby Kotick 的支持后,动视暴雪员工已经给出了最新的回应。在此前 500 人联署的基础上,现已有超过 1000 名员工和承包商请愿让公司 CEO 下台。联名书写道:“我们已不再相信 Bobby Kotick 作为董事暴雪首席执行官的领导能力,其在执掌公司期间的相关作为,与我们对领导层的文化和诚信要求背道而驰,且与同行发起的直接举措相抵触”。基于此,员工强烈要求让 Bobby Kotick 卸下动视暴雪 CEO 职务,并希望股东在排?

  • B站闪退

    今日凌晨,有大量网友反馈称,哔哩哔哩(B站)ios端 app出现了闪退的情况,同时还伴随这手机发热情况,观看记录消失等状况。随后,“B站闪退”冲上热搜,截至目前,该话题阅读达2300万,讨论超9900。

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天