首页 > 动态 > 关键词 > IBM最新资讯 > 正文

云安全日报200927:IBM企业私有云方案发现重要漏洞,需要尽快升级

2020-09-27 16:09 · 稿源:TechWeb.com.cn

IBM Cloud Private是IBM公司一个变革性的私有云平台,可从受防火墙保护的数据中心的安全性中提供公共云的优势。它是一个基于Kubernetes的容器架构构建的集成云平台,旨在帮助快速创建新的云原生应用程序,并在客户端控制的,高度安全的环境中现代化现有工作负载。IBM Cloud Private允许开发人员使用内置的开发工具和服务,同时使运营团队可以访问企业级管理工具,以帮助保持平台的安全性和最新性。

不过,9月26日IBM发布了安全公告更新,IBM Cloud Private爆出重要漏洞,需要尽快升级。以下是漏洞详情:

漏洞详情

1.第三方条目: 183560CVSS评分: 7.5 高

由于Node.js lodash(lodash是一个一致性、模块化、高性能的 JavaScript 实用工具库)工具库中存在拒绝服务漏洞,IBM Cloud Private容易受到Node.js lodash漏洞的攻击。

受影响产品和版本

IBM Cloud Private 3.2.1 持续交付(CD)版本

IBM Cloud Private 3.2.2 持续交付(CD)版本

解决方案

对于IBM Cloud Private 3.2.1,应用八月修订包:

IBM Cloud Private 3.2.1.2008

对于IBM Cloud Private 3.2.2,应用八月修订包:

IBM Cloud Private 3.2.2.2008

对于IBM Cloud Private 3.1.0、3.1.1、3.1.2、3.2.0:

升级到最新的持续交付(CD)更新软件包,IBM Cloud Private 3.2.2。

如果需要,可以在CD更新包之间提供单个产品修复程序,以解决问题。联系IBM支持以获取帮助

2. CVEID: CVE-2019-1547CVSS评分: 5.5 中

在计算机网络上,OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。

在OpenSSL EC组中,通常总是存在一个辅助因子,并且该辅助因子用于抗侧通道的代码路径中。但是,在某些情况下,可以使用显式参数(而不是使用命名曲线)来构造组。在那些情况下,这样的基团可能不存在辅因子。即使所有参数都匹配已知的命名曲线,也会发生这种情况。如果使用这样的曲线,则OpenSSL会退回到非旁通道抗性代码路径,这可能会导致ECDSA签名操作期间的完全密钥恢复。这些安全漏洞会影响IBM Cloud Private-OpenSSL

3. CVEID: CVE-2019-1549CVSS评分: 3.7 中低

OpenSSL 1.1.1引入了重写的随机数生成器(RNG)。旨在在fork()系统调用时提供保护,以确保父进程和子进程不会共享相同的RNG状态。但是,默认情况下未使用此保护,存在的安全漏洞会影响IBM Cloud Private-OpenSSL。此问题的部分缓解措施是,高精度计时器的输出被混入RNG状态,因此父子进程共享状态的可能性大大降低。如果应用程序已经使用OPENSSL_INIT_ATFORK显式调用OPENSSL_init_crypto(),则根本不会发生此问题。

4.CVEID: CVE-2019-1563CVSS评分: 3.7 中低

在攻击者收到解密尝试成功或失败的自动通知的情况下,攻击者在发送大量要解密的消息后,可以恢复CMS / PKCS7传输的加密密钥或使用Bleichenbacher填充oracle攻击解密使用公共RSA密钥加密的任何RSA加密消息。这些安全漏洞会影响IBM Cloud Private-OpenSSL。如果应用程序使用证书以及CMS_decrypt或PKCS7_decrypt函数的RSA私钥来选择要解密的正确收件人信息,则应用程序不会受到影响。

受影响的产品和版本

IBM Cloud Private 3.2.0 持续交付(CD)版本

IBM Cloud Private 3.2.1 持续交付(CD)版本

解决方案

对于IBM Cloud Private 3.2.0,请应用11月修订包:

IBM Cloud Private 3.2.0.1911修订包

对于IBM Cloud Private 3.2.1,请应用11月修订包:

IBM Cloud Private 3.2.1.1911修订包

更新以包括针对Logging和Mongodb的其他修复

对于IBM Cloud Private 3.2.1,请应用八月修订包:

IBM Cloud Private 3.2.1.2008修订包

对于IBM Cloud Private 3.2.2,应用八月修订包:

IBM Cloud Private 3.2.2.2008修订包


查看更多漏洞信息 以及升级请访问官网:

https://www.ibm.com/blogs/psirt/

  • 相关推荐
  • 大家在看
  • IBM拆分行动对其AI计划的影响

    作为今年最大的新闻之一,IBM最近宣布将其IT服务业务拆分为一家新公司,临时名为NewCo。由其首席执行官Arvind Krishna领导的这一举动将导致全球第一家大型计算公司从其原有业务转向多元化,而专注于高利润率的云计算和AI业务。该公司相信,通过这一举动,两家公司将处于改善的增长轨迹,具有更出色的合作能力和捕获新机遇的能力。这样一来,IBM成为第一家从传统业务中分离出来,专注于新技术的大型计算公司。全新的IBM

    IBM
  • 云安全日报200930:IBM云管理解决方案发现任意执行代码漏洞,需要尽快升级

    IBM Cloud Orchestrator(以前是IBM SmartCloud Orchestrator)是IBM公司一套云管理解决方案。它为 IT 服务提供云管理功能,支持通过易于使用的界面管理公有云、私有云和混合云,使得企业可以整合本地数据中心资源,云业务流程和云服务的自动化部署。它可以为企业提供现成可用的模式和内容包,帮助企业加快配置和部署的速度。它将各种管理工具(例如,计量、使用、记账、监控和容量管理)集成到云服务中,并且在开发和测试应用后可

  • 109岁的IBM重塑自我“一拆为二”

    现年 109 岁的蓝色巨人IBM本周四宣布将分拆为两家上市公司,预计 2021 年底完成。此次分拆距离IBM上一次重大调整已过去了五年。

  • 一个IT时代的终结:109岁的IBM将分拆为两家公司

    根据路透社最新消息,IBM 将拆分托管基础设施服务部门,成为一家新的上市公司,以便能专注于包括红帽在内的混合云业务。在此轮拆分完成之后,IBM 公司的软件及解决方案产品组合将在其总体收入中占据大部分比例。

  • 在宣布将剥离管理基础设施服务业务后 IBM股价收盘大涨近6%

    10月9日消息,据国外媒体报道,在IBM宣布计划剥离旗下管理基础设施部门后,该公司股价在当地时间周四收盘时大涨近6%,领涨道琼斯指数。当地时间周四,IBM宣布,它将剥离旗下的管理基础设施服务业务,成立一家独立的新公司。剥离之后,IBM和新公司将专注于各自所擅长的领域,其中IBM将专注于开放混合云平台与人工智能(AI)能力,而新公司则将专注于提供管理基础设施服务。该公司表示,通过专注于开放混合云和人工智能?

    IBM
  • 氪信与华为、IBM等科技公司合办IDC数字化转型年度盛典

    10 月 12 日,由咨询公司IDC(International Data Corporation)举办的2020年度数字化转型系列活动以线上形式启动,华为、IBM、氪信等顶尖科技公司受邀成为大会合作伙伴。IDC是全球著名的信息技术、电信行业和消费科技咨询、顾问和活动服务专业提供商。自 2016 年起,IDC携手信息与通信技术领域合作伙伴,打造年度数字化转型系列活动,全面解读数字化转型带来的变革与商机。作为深耕金融赛道的科技公司,氪信在实践中沉淀了深刻的?

  • Twitter确认宕机,但没有证据表明存在网络攻击或安全漏洞

    据外媒报道,日前,许多Twitter用户突然无法访问该服务平台。虽然老Twitter用户还记得这个社交媒体网站的“failwhale(故障的鲸鱼)”经常出现的时候,但现阶段它通常是稳定的,最近一次重大问题则是因7月份的安全漏洞而出现过。

  • 谷歌和英特尔警告Linux中存在高严重的蓝牙安全漏洞

    谷歌和英特尔警告说,除了最新版本的Linux内核外,其他所有版本的Linux内核都存在高严重性蓝牙漏洞。谷歌的一位研究人员表示,该漏洞允许攻击者在蓝牙范围内无缝执行代码,而英特尔则将该漏洞定性为提供特权升级或信息泄露。

  • 赶紧更新!Firefox漏洞允许攻击者在同一WiFi劫持移动浏览器

    Mozilla已经修复了一个漏洞,攻击者可以使用该漏洞在同一个WiFi网络上劫持所有安卓版火狐浏览器,迫使用户访问恶意网站,比如钓鱼网页。

  • IBM将剥离管理基础设施服务业务 专注于混合云与人工智能

    10月9日消息,据国外媒体报道,“蓝色巨人”IBM在官网上宣布,他们将剥离旗下的管理基础设施服务业务,成立一家新的公司,IBM则会专注于混合云与人工智能业务。IBM将剥离管理基础设施服务业务部门,是4月份上任的CEO阿尔温德·克里希纳(ArvindKrishna),在给团队的邮件中宣布的,IBM已在官网公布了这一邮件。阿尔温德表示,他们已经决定,将全球技术服务部门下的管理基础设施服务业务,剥离成一家独立的公司,新公司计

  • 微软已修复Windows安装过程中的权限提升安全漏洞

    在WindowsSetup中存在一个安全漏洞,即安装操作系统功能更新时的过程中可使得经过本地认证的攻击者有可能利用提升的系统权限运行任意代码。该漏洞(CVE-2020-16908)可被利用来安装软件、创建新用户账户或干扰数据。

  • Linux 5.9.1以及部分旧版稳定内核已解决 "Bleeding Tooth"漏洞问题

    Linux5.9正式发布刚过去一周,修正版本的内核5.9.1就已经跟随而来,让这个稳定版本更值得关注的是包括了本周被Google与英特尔的安全人员公开及警告的"BleedingTooth"蓝牙漏洞的修复。BleedingTooth是一个影响Linux的远程代码执行漏洞,源于L2CAP代码中基于堆的类型混乱。

  • [图]微软发布两个紧急安全更新:修复远程代码执行漏洞

    今天微软发布了两个不定期的例外(Out-of-Band)安全更新,重点修复了WindowsCodecs库和VisualStudioCode应用中的安全问题。这两个例外安全更新是本月补丁星期二活动日之后再发布的,主要修复了两款产品中的“远程代码执行”漏洞,能够让攻击者在受影响的设备上远程执行代码。

  • 美国土安全部发布紧急警告:Windows服务器存在“严重”漏洞

    美国国土安全部网络安全与基础设施安全局(CISA)发布了一项罕见的紧急指令,敦促政府机构为Windows服务器的一个“关键”漏洞安装补丁,该漏洞被安全机构称为Zerologon。

  • 要升级!微软发布Edge浏览器稳定版 修复诸多严重安全漏洞

    作为全球市场份额第二大的浏览器,Edge最近也引起了很多用户的吐槽,主要是微软在Windows 10更新中进行了强制安装,这带来了很不好的体验。现在,微软面向Windows和macOS平台发布了基于Chromi

  • 被美安全部警告后 微软修复Windows严重漏洞:3秒能攻破设备

    也许是漏洞真的是太要命了,微软已经第一时间对其进行了修复,其已经要求客户尽快修复Zerologon漏洞。在 Zerologon 漏洞开始疯狂传播之后,美国国土安全局责令政府网络管理员责令政府网络管理

  • 研究人员担心BleedingTooth蓝牙漏洞给Linux系统带来风险

    基于Linux的操作系统通常被认为比Windows等系统更安全,但这并不意味着它们完全没有安全问题。谷歌安全研究人员已经对Linux蓝牙堆栈中的一系列"零点击"漏洞发出警告。该漏洞被称为BleedingTooth,最坏的后果是带来远程代码执行攻击。

  • 3秒攻破设备:Windows存在严重漏洞 美安全部紧急警告通知微软

    据外媒报道称,美国土安全部网络安全顾问组罕见地向政府部门发布了紧急警报,因为Windows存在“严重”漏洞。报道中提到,美网络安全与基础设施安全局(CISA)于当地时间周五晚间发布警

  • 英国更新交规修补漏洞 进一步禁止开车时触碰手机

    英国政府正在更新有关驾驶时使用移动设备的法律,堵塞使一些iPhone用户仍能在驾驶时使用智能手机拍摄视频等功能的漏洞。英国和其他许多国家一样制订了法律,试图防止司机在开车时使用智能手机和其他设备,以尽量减少分心。虽然现有的法律有助于减少手机的使用,但由于法律的措辞不尽完善,仍有一些人设法逃脱制裁。

  • Epic收回漏洞领取的看门狗2 Epic关于看门狗2回收公告

    2020年9月23日的晚上,Epic商城宣布将不得不陆续回收国区账号中利用漏洞领取的《看门狗2》,此前有大量玩家通过更改国家和地区的操作进行领取,这次要收回了,一些小伙伴还不清楚具体的情况,下面就来为大家分享一下Epic的公告。

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签