[漏洞通告] WebSphere xml 外部实体(XXE)注入漏洞

Andrew 2021-04-23
专栏 - 资讯 发布于 2021-04-23 12:48:20 阅读 5586 评论 0

通告编号:NS-2021-0019**

2021-04-22

TAG: WebSphere、XXE、CVE-2021-20453、CVE-2021-20454
漏洞危害: 攻击者利用此漏洞,可实现XML外部实体注入。
版本: 1.0

1 漏洞概述

近日,绿盟科技监测到IBM发布安全公告修复了两个WebSphere Application Server XML外部实体(XXE)注入漏洞(CVE-2021-20453/CVE-2021-20454),由于WAS在处理XML数据时容易受到XML外部实体注入(XXE)攻击。远程攻击者可利用漏洞获取敏感信息或消耗内存资源。请相关用户采取措施进行防护。

参考链接:

https://www.ibm.com/support/pages/node/644...

https://www.ibm.com/support/pages/node/644...

2 影响范围

受影响版本

  • WebSphere Application Server 9.0.0.0 - 9.0.5.7

  • WebSphere Application Server 8.5.0.0 - 8.5.5.19

  • WebSphere Application Server 8.0.0.0 - 8.0.0.15

  • WebSphere Application Server 7.0.0.0 - 7.0.0.45

注:WebSphere Application Server V7.0 和 V8.0官方已停止维护。

不受影响版本

  • WebSphere Application Server >= 9.0.5.8(预计2021年第二季度发布)

  • WebSphere Application Server >= 8.5.5.20(预计2021年第三季度发布)

3 漏洞检测

3.1 版本检测

相关用户可通过版本检测的方式判断当前应用是否存在风险。

方法一:登录WebSphere管理平台首页查看版本信息。

图片

若当前使用版本在受影响范围内,则可能存在安全风险。

方法二:进入/opt/IBM/WebSphere/AppServer/bin目录下,执行./versionInfo.sh即可查看当前版本,查看Package日期,如果低于20210125则说明存在安全风险。

./versionInfo.sh |

图片

4 漏洞防护

4.1 官方升级

目前官方已发布更新修复了该漏洞,对于已停止维护的版本也提供了安全补丁,请受影响的用户尽快安装进行防护。

1、相关用户可通过IBM Installation Manager进行升级,根据提示进行版本更新、补丁安装。

图片

2、用户也可至官网手动下载补丁并安装。

CVE-2021-20453:

受影响版本 修复方法 补丁下载链接
9.0.0.0 - 9.0.5.7 根据临时修订要求升级到最低修订包级别,然后下载补丁PH34067 https://www.ibm.com/support/pages/node/644...
8.5.0.0 - 8.5.5.19 根据临时修订要求升级到最低修订包级别,然后下载补丁PH34067
8.0.0.0 - 8.0.0.15 升级至8.0.0.15 版本,并安装补丁PH34067

CVE-2021-20454:

受影响版本 修复方法 补丁下载链接
9.0.0.0 - 9.0.5.7 根据临时修订要求升级到最低修订包级别,然后下载补丁PH34048 https://www.ibm.com/support/pages/node/644...
8.5.0.0 - 8.5.5.19 根据临时修订要求升级到最低修订包级别,然后下载补丁PH34048
8.0.0.0 - 8.0.0.15 升级至8.0.0.15 版本,并安装补丁PH34048
7.0.0.0 - 7.0.0.45 升级至7.0.0.45版本,并安装补丁PH34048

注:安装补丁之前请先关闭WebSphere服务,安装完成后再将服务开启。

END

作者:绿盟科技威胁对抗能力部

图片

图片

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

原创: 绿盟科技安全情报
原文链接:https://mp.weixin.qq.com/s/gnroqg_qUXdD-nN...

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!