Argitalpen data: 2019/05/16
Garrantzia: Kritikoa
Kaltetutako baliabideak:
- WebSphere Application Server ND, 9.0 bertsioa
- WebSphere Application Server ND, 8.5 bertsioa
- WebSphere Virtual Enterprise, 7.0 bertsioa
Azalpena:
IBMko Ryan Wincey-k WebSphere Application Server Network Deployment-ek duen kodearen urruneko exekuzio erako ahultasun baten berri eman du.
Konponbidea:
Gomendatutako konponbidea da ahalik azkarren behin-behineko partxea aplikatzea, produktu bakoitzerako APARa duen Fixpack edo PTF.
- WebSphere Application Server ND tradicional eta WebSphere Application Server ND Hypervisor Edition-en kasuan, 9.0.0.0tik 9.0.0.11ra bitarteko bertsioak:
- fixpack-en gutxieneko mailetara eguneratzea, behin-behineko partxeak eskatzen duenaren arabera, eta ondoren PH11655 behin-behineko konponbidea aplikatzea, edo bestelao
- fixpack 9.0.0.12 edo ondorenekoa aplikatzea (aurreikuspenen arabera, 2019ko bigarren hiruhilekoan eskuragarri).
- WebSphere Application Server ND tradicional eta WebSphere Application Server ND Hypervisor Edition-en kasuan, 8.5.0.0tik 8.5.5.15ra bitarteko bertsioak:
- fixpack-en gutxieneko mailetara eguneratzea, behin-behineko partxeak eskatzen duenaren arabera, eta ondoren PH11655 behin-behineko konponbidea aplikatzea, edo bestela
- fixpack 8.5.5.16 edo ondorenekoa aplikatzea (aurreikuspenen arabera, 2019ko hirugarren hiruhilekoan eskuragarri).
- WebSphere Virtual Enterprise Edition v7.0ren kasuan: PH11655 behin-behineko partxea aplikatzea.
- OHARRA: WebSphere Virtual Enterprise V7 zerbitzuz kanpo dago. Horregatik, IBMk gomendatzen du produktua eguneratzea zerbitzua duen bertsio, release edo plataforma batera.
Xehetasuna:
- IBM WebSphere Application Server NDk ahalbidetu liezaioke urruneko erasotzaile bati sisteman kode arbitrarioa exekutatzea, fidagarriak ez diren iturrietatik serializatutako objektuen sekuentzia batekin, bereziki diseinatutakoa. Ahultasun horretarako CVE-2019-4279 kodea erreserbatu da.
Etiketak: IBM, Ahultasuna