Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Kodearen urruneko exekuzioa IBMren WebSphere Application Server-en

Argitalpen data: 2019/05/16

Garrantzia: Kritikoa

Kaltetutako baliabideak: 

  • WebSphere Application Server ND, 9.0 bertsioa
  • WebSphere Application Server ND, 8.5 bertsioa
  • WebSphere Virtual Enterprise, 7.0 bertsioa

Azalpena:

IBMko Ryan Wincey-k WebSphere Application Server Network Deployment-ek duen kodearen urruneko exekuzio erako ahultasun baten berri eman du.

Konponbidea:

Gomendatutako konponbidea da ahalik azkarren behin-behineko partxea aplikatzea, produktu bakoitzerako APARa duen Fixpack edo PTF.

  • WebSphere Application Server ND tradicional eta WebSphere Application Server ND Hypervisor Edition-en kasuan, 9.0.0.0tik 9.0.0.11ra bitarteko bertsioak: 
    • fixpack-en gutxieneko mailetara eguneratzea, behin-behineko partxeak eskatzen duenaren arabera, eta ondoren PH11655 behin-behineko konponbidea aplikatzea, edo bestelao
    • fixpack 9.0.0.12 edo ondorenekoa aplikatzea (aurreikuspenen arabera, 2019ko bigarren hiruhilekoan eskuragarri).
  • WebSphere Application Server ND tradicional eta WebSphere Application Server ND Hypervisor Edition-en kasuan, 8.5.0.0tik 8.5.5.15ra bitarteko bertsioak: 
    • fixpack-en gutxieneko mailetara eguneratzea, behin-behineko partxeak eskatzen duenaren arabera, eta ondoren PH11655 behin-behineko konponbidea aplikatzea, edo bestela
    • fixpack 8.5.5.16 edo ondorenekoa aplikatzea (aurreikuspenen arabera, 2019ko hirugarren hiruhilekoan eskuragarri).
  • WebSphere Virtual Enterprise Edition v7.0ren kasuan: PH11655 behin-behineko partxea aplikatzea. 
    • OHARRA: WebSphere Virtual Enterprise V7 zerbitzuz kanpo dago. Horregatik, IBMk gomendatzen du produktua eguneratzea zerbitzua duen bertsio, release edo plataforma batera.

Xehetasuna:

  • IBM WebSphere Application Server NDk ahalbidetu liezaioke urruneko erasotzaile bati sisteman kode arbitrarioa exekutatzea, fidagarriak ez diren iturrietatik serializatutako objektuen sekuentzia batekin, bereziki diseinatutakoa. Ahultasun horretarako CVE-2019-4279 kodea erreserbatu da.

Etiketak: IBM, Ahultasuna