首页 > 动态 > 关键词  > IBM最新资讯  > 正文

云安全日报200927:IBM企业私有云方案发现重要漏洞,需要尽快升级

2020-09-27 16:09 · 稿源: TechWeb.com.cn

IBM Cloud Private是IBM公司一个变革性的私有云平台,可从受防火墙保护的数据中心的安全性中提供公共云的优势。它是一个基于Kubernetes的容器架构构建的集成云平台,旨在帮助快速创建新的云原生应用程序,并在客户端控制的,高度安全的环境中现代化现有工作负载。IBM Cloud Private允许开发人员使用内置的开发工具和服务,同时使运营团队可以访问企业级管理工具,以帮助保持平台的安全性和最新性。

不过,9月26日IBM发布了安全公告更新,IBM Cloud Private爆出重要漏洞,需要尽快升级。以下是漏洞详情:

漏洞详情

1.第三方条目: 183560CVSS评分: 7.5 高

由于Node.js lodash(lodash是一个一致性、模块化、高性能的 JavaScript 实用工具库)工具库中存在拒绝服务漏洞,IBM Cloud Private容易受到Node.js lodash漏洞的攻击。

受影响产品和版本

IBM Cloud Private 3.2.1 持续交付(CD)版本

IBM Cloud Private 3.2.2 持续交付(CD)版本

解决方案

对于IBM Cloud Private 3.2.1,应用八月修订包:

IBM Cloud Private 3.2.1.2008

对于IBM Cloud Private 3.2.2,应用八月修订包:

IBM Cloud Private 3.2.2.2008

对于IBM Cloud Private 3.1.0、3.1.1、3.1.2、3.2.0:

升级到最新的持续交付(CD)更新软件包,IBM Cloud Private 3.2.2。

如果需要,可以在CD更新包之间提供单个产品修复程序,以解决问题。联系IBM支持以获取帮助

2. CVEID: CVE-2019-1547CVSS评分: 5.5 中

在计算机网络上,OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。

在OpenSSL EC组中,通常总是存在一个辅助因子,并且该辅助因子用于抗侧通道的代码路径中。但是,在某些情况下,可以使用显式参数(而不是使用命名曲线)来构造组。在那些情况下,这样的基团可能不存在辅因子。即使所有参数都匹配已知的命名曲线,也会发生这种情况。如果使用这样的曲线,则OpenSSL会退回到非旁通道抗性代码路径,这可能会导致ECDSA签名操作期间的完全密钥恢复。这些安全漏洞会影响IBM Cloud Private-OpenSSL

3. CVEID: CVE-2019-1549CVSS评分: 3.7 中低

OpenSSL 1.1.1引入了重写的随机数生成器(RNG)。旨在在fork()系统调用时提供保护,以确保父进程和子进程不会共享相同的RNG状态。但是,默认情况下未使用此保护,存在的安全漏洞会影响IBM Cloud Private-OpenSSL。此问题的部分缓解措施是,高精度计时器的输出被混入RNG状态,因此父子进程共享状态的可能性大大降低。如果应用程序已经使用OPENSSL_INIT_ATFORK显式调用OPENSSL_init_crypto(),则根本不会发生此问题。

4.CVEID: CVE-2019-1563CVSS评分: 3.7 中低

在攻击者收到解密尝试成功或失败的自动通知的情况下,攻击者在发送大量要解密的消息后,可以恢复CMS / PKCS7传输的加密密钥或使用Bleichenbacher填充oracle攻击解密使用公共RSA密钥加密的任何RSA加密消息。这些安全漏洞会影响IBM Cloud Private-OpenSSL。如果应用程序使用证书以及CMS_decrypt或PKCS7_decrypt函数的RSA私钥来选择要解密的正确收件人信息,则应用程序不会受到影响。

受影响的产品和版本

IBM Cloud Private 3.2.0 持续交付(CD)版本

IBM Cloud Private 3.2.1 持续交付(CD)版本

解决方案

对于IBM Cloud Private 3.2.0,请应用11月修订包:

IBM Cloud Private 3.2.0.1911修订包

对于IBM Cloud Private 3.2.1,请应用11月修订包:

IBM Cloud Private 3.2.1.1911修订包

更新以包括针对Logging和Mongodb的其他修复

对于IBM Cloud Private 3.2.1,请应用八月修订包:

IBM Cloud Private 3.2.1.2008修订包

对于IBM Cloud Private 3.2.2,应用八月修订包:

IBM Cloud Private 3.2.2.2008修订包

查看更多漏洞信息 以及升级请访问官网:

https://www.ibm.com/blogs/psirt/

  • 相关推荐
  • 大家在看
  • IBM中国揭秘首款2nm芯片:最小部分比DNA单链还迷你

    IBM中国日前发布视频,题为《YYDS!IBM发布全球首个2nm芯片》。据介绍,今年5月,IBM宣布研制出全球首颗2nm芯片,这是继5nm、7nm首发后,IBM在半导体领域的又一重大创新。IBM在视频中透露,这颗芯片中的最小单元甚至比DNA单链还要小。据悉,硅晶圆由IBM研究院在其位于美国纽约州奥尔巴尼半导体研究机构设计和生产,它包含数百个指甲大小的芯片,每颗芯片可容纳500亿个2nm晶体管。指标方面,2nm比7nm的性能提升了45%,能耗更是减少7

  • SCO诉IBM的Linux诉讼案最终画上句号

    在SCO破产之后;一个又一个的法院驳回了SCO疯狂的版权要求。在这个传奇故事接近20年的时候,美国犹他州地区法院终于为SCO对IBM的诉讼画上了句号。在这个问题上的所有索赔和反诉,无论是否被指控,是否被申辩,都已经完全解决。法院裁决显示,法院批准双方的动议。本诉讼中的所有索赔和反索赔,无论是否被指控,是否被申辩,都已全部解决。各方应自行承担各自的费用和开支,包括律师费。早些时候,一直监督SCO破产的美国特拉华地区?

  • IBM推出127量子比特的量子处理器:2年后将实现量子霸权

    全球都在争相研发更先进的量子计算机,IBM已经在此领域领先多年,现在他们推出了全球首个超过100量子比特的量子芯片Eagle,拥有127个量子比特,2年后还将推出超过1000个量子比特的芯片,届时就会实现量子霸权。量子比特是衡量量子计算机性能的重要指标,不同于电子计算机只能是0或者1二选一的状态,量子比特可以同时是0或者1,所以其计算性能更强大,而且增加量子比特就可以指数级提升性能。IBM这次发布的Eagle量子芯片拥有127个量

  • GitLab服务器漏洞被滥用于发起超过1Tbps的DDoS攻击

    Google 云安全可靠性工程师 Damian Menscher 在今日披露的 CVE-2021-22205 漏洞利用报告中指出:有攻击者正在利用 GitLab 托管服务器上的安全漏洞来构建僵尸网络,并发起规模惊人的分布式拒绝服务攻击(DDoS)。其中一些攻击的峰值流量,甚至超过了 1 Tbps 。攻击盯上了 GitLab 的元数据删除功能The Record 报道称:该漏洞由 William Bowling 发现,并通过漏洞赏金计划提交给了 GitLab 官方。具体受影响的组件被称作 ExifTool,它?

  • 微软为Windows 10推送KB5007186累积更新:大量Bug和高危漏洞被修复

    今天(11月10日),微软向Windows 10 2004、20H2和21H1用户推送了编号为KB5007186的累积更新,此次更新包含了6个关键更新和49个重要更新”,同时修复了数个Bug。具体来说,本次更新修复了20个提权漏洞;2个安全功能绕过漏洞;15个远程代码执行漏洞。除此之外还修复了10个信息泄露漏洞;3个拒绝服务漏洞和4个欺骗漏洞。上述修复内容中包含了部分针对Microsoft Exchange和Excel的,被广泛利用的漏洞,如果不进行修复对系统的安全性和

  • 研究人员公布BrakTooth蓝牙漏洞利用代码 CISA敦促供应商尽快修复

    随着公开漏洞利用代码和一款概念验证工具的发布,美国网络与基础设施安全局(CISA)也及时地向供应商发去了通报,以敦促其尽快修复影响数十亿设备(手机 / PC / 玩具)的拒绝服务(DoS)和代码执行攻击漏洞。ThreatPost 指出,用于测试新曝光的蓝牙 BrakTooth 漏洞的概念验证工具的保密期已结束,相关测试套件和完整漏洞利用代码现已向公众开放访问。BrakTooth 漏洞检测与利用工具概念验证代码已上线 GitHub(来自:CISA)据悉,Br

  • 联发科修复芯片漏洞 避免被恶意应用窃听

    Check Point Research 在近期发布的联发科芯片组的 AI 和音频处理组件中发现了一个漏洞,或被别有用心者利用于本地权限提升攻击。这意味着通过精心设计的代码,第三方应用程序可访问它不该接触到 AI 和音频相关信息 —— 理论上甚至可用于窃听。庆幸的是,该漏洞从未被发现有在野外被利用,且联发科已于 10 月份完成了修复。在周三发布的一份白皮书中,Check Point Research 详细介绍了如何在红米 Note 9 5G 上完成这项复杂的攻击?

  • CISA创建了已知被利用的漏洞目录 并命令联邦机构及时进行修补

    美国网络安全和基础设施安全局今天建立了一个公开的已知被利用的漏洞目录,并发布了一个具有约束力的操作指令,命令美国联邦机构在特定的时间框架和期限内修补受影响的系统。该目录目前列出了306个漏洞,其中一些老漏洞是2010年就被发现,但现在仍在外部被利用。这其中包括思科、Google、微软、苹果、甲骨文、Adobe、Atlassian、IBM和其他许多大小公司的产品的漏洞。对于今年披露的漏洞(CVE代码为CVE-2021-*****),CISA已经命令?

  • AMD公布一二三代Zen 22个安全漏洞:补丁已安排

    AMD今天公布了EPYC霄龙处理器的多达22个安全漏洞,一二三代的Zen架构均被波及,不过修复补丁也已经分发。AMD表示,这些漏洞是与Google、微软、甲骨文等伙伴合作发现确定的,涉及霄龙处理器的PSP平台安全处理器、SMU系统管理单元、SEV安全加密虚拟化,以及其他系统组件。按等级来说,高危级别的有4个,中等级别的22个。按产品来说,Zen3架构的霄龙7003系列上存在全部22个漏洞,Zen2的霄龙7002系列有17个,Zen架构的霄龙7001系列则是

  • 注意了 Intel处理器曝出2个严重漏洞:波及7代到11代酷睿

    Intel公司日前确认,旗下的处理器被发现了2个严重等级的漏洞,涉及7代到11代酷睿等多款处理器。据报道,这两个漏洞总部位于加利福尼亚的初创公司 SentinelOne 发现的,这些漏洞被命名为CVE-2021-0157和CVE-2021-0158,被归类为高严重性(CVSS v3 8.2),它们可以让攻击者在用户设备上获得最高权限。第一个漏洞CVE-2021-0157是由某些Intel处理器的BIOS控制线程中的缺陷引起的,而漏洞CVE-2021-0158基于BIOS中的错误输入验证。不过黑客

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天