• 我的位置:
  • 首頁
  • -
  • 漏洞預警
  • -
  • 中間件
  • -
    • IBM WebSphere Application Server目錄遍歷漏洞
    • CNNVD編號:未知
    • 危害等級: 中危 
    • CVE編號:CVE-2021-20354
    • 漏洞類型: 信息泄露
    • 威脅類型:遠程
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2021-03-01
    • 更新時間:2021-03-01

    漏洞簡介

    WebSphere是IBM的軟件平臺。它包含了編寫、運行和監(jiān)視全天候的工業(yè)強度的隨需應變Web應用程序和跨平臺、跨產(chǎn)品解決方案所需要的整個中間件基礎設施,如服務器、服務和工具。WebSphere提供了可靠、靈活和健壯的軟件。

    WebSphere Application Server 是該設施的基礎,其他所有產(chǎn)品都在它之上運行。WebSphere Process Server基于WebSphere Application Server和WebSphere Enterprise Service Bus,它為面向服務的體系結構(SOA)的模塊化應用程序提供了基礎,并支持應用業(yè)務規(guī)則,以驅(qū)動支持業(yè)務流程的應用程序。高性能環(huán)境還使用 WebSphere Extended Deployment作為其基礎設施的一部分。為其他 WebSphere產(chǎn)品提供了廣泛的其他服務。

    漏洞公示

    近日,深信服安全團隊監(jiān)測到一則WebSphere組件存在目錄遍歷漏洞的信息,漏洞編號:CVE-2021-20354,漏洞危害:中危。該漏洞是由于WAS未正確處理URL請求,攻擊者可以利用精心構造的惡意請求進行目錄遍歷攻擊,造成文件讀取、信息泄露等。

    參考網(wǎng)站

    暫無

    受影響實體

    WebSphere是IBM 的軟件平臺。它包含了編寫、運行和監(jiān)視全天候的工業(yè)強度的隨需應變Web應用程序和跨平臺、跨產(chǎn)品解決方案所需要的整個中間件基礎設施,如服務器、服務和工具。WebSphere提供了可靠、靈活和健壯的軟件。全球有幾十萬臺服務器部署該平臺,可能受漏洞影響的資產(chǎn)廣泛分布于世界各地,中國大陸省份中主要集中在北京,廣東等地。

    目前受影響的WebSphere版本:

    9.0.0.0 ≤ WebSphere Application Server ≤ 9.0.5.6

    8.5.0.0 ≤ WebSphere Application Server ≤ 8.5.5.19

    8.0.0.0 ≤ WebSphere Application Server ≤ 8.0.0.15

    補丁

    1、自檢方案

    方法一、登錄websphere管理平臺首頁查看版本信息。

    方法二、進入/opt/IBM/WebSphere/AppServer/bin目錄下,執(zhí)行./versionInfo.sh即可查看當前版本,查看Package日期,如果低于20210217則說明存在安全風險。

    2、官方修復建議

    當前官方已發(fā)布最新版本,建議受影響的用戶及時更新升級到最新版本。補丁下載地址:

    https://www.ibm.com/support/pages/node/6415901

    訪問補丁鏈接,登錄相關賬號,選擇對應版本進行下載:


    這里以下載9.0.0.0-ws-wasprod-ifph31727.zip 為例,點擊下載鏈接”FC”,跳轉(zhuǎn)頁面選擇繼續(xù)


    跳轉(zhuǎn)頁面,選擇同意相關條款,點擊立即下載


    若點擊立即下載無響應,需下載IBM Download Director工具進行下載

    重新加載下載頁面,激活IBM Download Director工具進行下載


    啟動IBM Installation Manager 工具,

    文件--->首選項--->存儲庫-->添加存儲庫(勾選選擇已經(jīng)下載的9.0.0.0-ws-wasprod-ifph31727.zip)-->測試連接-->確定


    回到IBM Installation Manager主界面選擇安裝(用戶也可選擇更新,勾選相關軟件包在線下載進行安裝)


    勾選已安裝版本,選擇下一步,繼續(xù)下一步,點擊安裝




    完成IBM WebSphere Application Server 補丁安裝,然后點擊“完成”按鈕結束更新。