日前，IBM發(fā)布安全更新，修復(fù)了在IBM MQ企業(yè)級(jí)消息中間件平臺(tái)中發(fā)現(xiàn)的任意代碼執(zhí)行等高風(fēng)險(xiǎn)漏洞。以下是該漏洞的詳細(xì)信息:

漏洞詳細(xì)信息

1.CVE—2022—23852 CVSS評(píng)分:9.8嚴(yán)重程度:重要。

Expat可能允許遠(yuǎn)程攻擊者在系統(tǒng)上執(zhí)行任意代碼，這是由XML_GetBuffer函數(shù)中的整數(shù)溢出造成的通過(guò)發(fā)送巧盡心思構(gòu)建的請(qǐng)求，攻擊者可以利用此漏洞在系統(tǒng)上執(zhí)行任意代碼

2.CVE—2021—42574 CVSS得分:9.8嚴(yán)重程度:重要

Unicode可能允許遠(yuǎn)程攻擊者在系統(tǒng)上執(zhí)行任意代碼，這是由Unicode規(guī)范中雙向算法的缺陷造成的通過(guò)創(chuàng)建包含正確放置的雙向字符的惡意修補(bǔ)程序，攻擊者可以利用此漏洞在系統(tǒng)上執(zhí)行任意代碼注意:這個(gè)漏洞也會(huì)影響Rust

3.CVE—2022—22824 CVSS得分:7.8嚴(yán)重程度:重要

Expat可能允許遠(yuǎn)程攻擊者在系統(tǒng)上執(zhí)行任意代碼，這是由于xmlparse.c中的defineAttribute integer溢出造成的通過(guò)誘使受害者打開(kāi)特制的文件，攻擊者可以利用此漏洞在系統(tǒng)上執(zhí)行任意代碼

4.CVE—2022—22823 CVSS得分:7.8嚴(yán)重程度:重要

Expat可能允許遠(yuǎn)程攻擊者在系統(tǒng)上執(zhí)行任意代碼，這是由xmlparse.c中的build_model整數(shù)溢出引起的通過(guò)誘使受害者打開(kāi)特制的文件，攻擊者可以利用此漏洞在系統(tǒng)上執(zhí)行任意代碼

5.CVE—2022—22826 CVSS得分:7.8嚴(yán)重程度:重要

Expat可能允許遠(yuǎn)程攻擊者在系統(tǒng)上執(zhí)行任意代碼，這是由于xmlparse.c中的nextScaffoldPart integer溢出造成的通過(guò)誘使受害者打開(kāi)特制的文件，攻擊者可以利用此漏洞在系統(tǒng)上執(zhí)行任意代碼

6.CVE—2022—22827 CVSS得分:7.8嚴(yán)重程度:重要

Expat可能允許遠(yuǎn)程攻擊者在系統(tǒng)上執(zhí)行任意代碼，這是由于xmlparse.c中的storeAtts integer溢出造成的通過(guò)誘使受害者打開(kāi)特制的文件，攻擊者可以利用此漏洞在系統(tǒng)上執(zhí)行任意代碼

7.CVE—2022—22822 CVSS得分:7.8嚴(yán)重程度:重要

Expat可能允許遠(yuǎn)程攻擊者在系統(tǒng)上執(zhí)行任意代碼，這是由于xmlparse.c中的addBinding integer溢出造成的通過(guò)誘使受害者打開(kāi)特制的文件，攻擊者可以利用此漏洞在系統(tǒng)上執(zhí)行任意代碼

受影響的產(chǎn)品和版本

IBM MQ操作員CD版本1.8.0

IBM MQ操作員EUS版本1.3.2

IBM提供了MQ高級(jí)隊(duì)列管理器容器映像9.2.5.0—r1，9.2.0.4—r1

解決辦法

IBM MQ Operator v1.8.1 CD:

ibm—mq—operator v1.8.1

IBM—mqadvanced—server 9 . 2 . 5 . 0—R2

IBM—mqadvanced—服務(wù)器集成9.2.5.0—r2

IBM—mqadvanced—server—dev 9 . 2 . 5 . 0—R2

IBM MQ Operator v1.3.3 EUS:

ibm—mq—operator v1.3.3

IBM—mqadvanced—服務(wù)器集成9.2.0.5—r1—eus

免責(zé)聲明：此文內(nèi)容為本網(wǎng)站轉(zhuǎn)載企業(yè)宣傳資訊，僅代表作者個(gè)人觀點(diǎn)，與本網(wǎng)無(wú)關(guān)。僅供讀者參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。