IBM 多款产品爆出漏洞,或严重影响银行等金融机构

本篇文章2379字，读完约6分钟

Ibm是世界上最大的信息技术和商业解决方案公司，其全球能力包括服务、软件、硬件系统、研发和相关融资支持。Ibm始终以先进的技术、卓越的管理和独特的产品引领着信息产业的发展，确保了全球几乎所有行业的用户对信息处理的全方位需求。

但是，ibm在7月31日发布了安全公告，ibm的很多产品都有很多漏洞，这可能会严重影响银行等金融机构。以下是该漏洞的详细信息:

I .财务经理

Ibm多平台高价值支付金融交易经理(FTMHVP)是美国IBM公司的多平台金融交易经理。该产品主要用于银行和其他金融机构监控、跟踪和报告金融支付和交易。

漏洞详细信息

1.跨站点脚本漏洞(cve-2020-4560)

IBM金融交易管理器3.2.4容易受到跨站点脚本攻击。此漏洞允许用户在web用户界面中嵌入任意的javascript代码，从而改变预期的功能，这可能导致可信会话中的凭据泄露。

2.sql注入漏洞(cve-2020-4328)

Ibm金融交易管理器3.2.4易受sql注入的攻击。远程攻击者可以发送特制的sql语句，这可能使攻击者能够查看、添加、修改或删除后端数据库中的信息。

漏洞修复

将ftm hvp升级到:3.2.4.0-ftm-hvp-mp-ifix0001可以修复上述两个漏洞

其次，应用服务器是

Ibm WebSphere应用服务器是美国Ibm公司的应用服务器产品。该产品是javaee和web服务应用程序的平台，也是ibmwebsphere软件平台的基础。ibm was中存在安全漏洞。

漏洞详细信息

远程攻击漏洞(cve-2020-4534)

由于对unc路径的不当处理，Ibm was可能允许本地经过身份验证的攻击者获得系统特权的提升。通过使用特制的unc路径来安排任务，攻击者可以利用此漏洞以更高的权限执行任意代码。

受影响的产品和版本:

Ibm是9.0，8.5，8.0，7.0。

漏洞修复

使用传统的websphere应用服务器和WebSphere应用服务器管理程序版本:

对于v 9 . 0 . 0 . 0 . 0至9.0.5.4:道路

根据临时版本要求升级到最低版本包级别，然后应用临时版本ph26083-

或者应用9.0.5.5或更高版本的修订包(目标可用性为3q2020)。

对于v8.5.0.0至8.5.5.17:

根据临时版本要求升级到最低版本包级别，然后应用临时版本ph26083-

或应用8.5.5.18或更高版本的修订包(目标可用性2020年第3季度)。

对于8.0.0.0到8.0.0.15:升级到8.0.0.15，然后应用临时版本ph26083

对于7.0.0.0到7.0.0.45:升级到7.0.0.45，然后应用临时版本ph26083

Iii .i2分析师笔记本数据可视化分析工具

Ibm i2分析师笔记本是美国Ibm公司的数据可视化分析工具。该产品支持数据存储和数据分析等功能。

1.内存损坏漏洞(CVE-2020-4549/CVE-2020-4550/CVE-2020-4551/CVE-2020-4552/CVE-2020-4553/CVE-2020-4554)

ibm i2 analyst的笔记本可能允许本地攻击者执行由系统内存损坏导致的任意代码。通过诱使受害者打开特制文件，攻击者可以利用此漏洞在系统上执行任意代码。

受影响的产品和版本:

ibm i2分析师的笔记本9.2.1

ibm i2分析师的笔记本高级版9.2.1

漏洞修复

在线升级到最新软件包可以修复此漏洞

四.cognos分析商业智能软件

Ibm cognos analytics是美国Ibm公司的一套商业智能软件。该软件包括报告、仪表板和记分卡等。，并通过分析关键因素和关键人物来帮助企业调整决策。

ibm cognos analytics中的Jquery ui容易受到跨站点脚本的攻击，这是由用户提供的输入验证不正确造成的。单击某个url后，远程攻击者可以使用特制url中的title参数来利用此漏洞，在宿主网站的安全上下文中，在受害者的web浏览器中执行脚本。攻击者可以利用此漏洞窃取受害者基于cookie的身份验证凭据。

漏洞详细信息

1.权限提升漏洞(cve-2019-4589)

Ibm cognos analytics容易受到权限升级的影响，在权限升级中，我的日程和订阅页面是可见的，具有较低权限的用户可以访问该页面。

2.信息泄露漏洞(cve-2019-4366)

Ibm cognos analytics易受信息泄露漏洞的攻击，攻击者可能会利用该漏洞访问缓存的浏览器数据。

3.xml注入漏洞(cve-2020-4377)

Ibm cognos anaytics在处理xml数据时容易受到xml外部实体注入(xxe)攻击。远程攻击者可以利用此漏洞泄露敏感信息或消耗内存资源。

受影响的产品和版本:

ibm cognos analytics 11.1

IBM Cognos Analytics 11.0(11 . 0 . 13 FP2之前的版本)

漏洞修复

借助ibm cognos analytics 11.1.x:

建议的解决方案是尽快将此修复应用于列出的版本。

下载ibm cognos analytics 11.1.7.0

借助ibm cognos analytics 11.0.x:

Ibm cognos analytics 11.0.x仅易受cve-2016-7103的攻击，该版本仅适用于ibm cognos analytics 11.0.13 fp2之前的版本。

推荐的解决方案是应用最新版本的ibm cognos analytics 11.0.x

Ibm cognos analytics 11.0.13修订包3

来源：搜狐微门户