WebSphere Application Server 多個(gè)高危漏洞
  • CNNVD編號(hào):未知
  • 危害等級(jí): 高危 
  • CVE編號(hào):CVE-2021-20453/CVE-2021-20454
  • 漏洞類型: 未知
  • 威脅類型:未知
  • 廠       商:未知
  • 漏洞來(lái)源:深信服
  • 發(fā)布時(shí)間:2021-05-08
  • 更新時(shí)間:2021-05-08

漏洞簡(jiǎn)介

1、組件介紹

WebSphere是IBM的軟件平臺(tái)。它包含了編寫、運(yùn)行和監(jiān)視全天候的工業(yè)強(qiáng)度的隨需應(yīng)變Web應(yīng)用程序和跨平臺(tái)、跨產(chǎn)品解決方案所需要的整個(gè)中間件基礎(chǔ)設(shè)施,如服務(wù)器、服務(wù)和工具。WebSphere提供了可靠、靈活和健壯的軟件。


WebSphere Application Server 是該設(shè)施的基礎(chǔ),其他所有產(chǎn)品都在它之上運(yùn)行。WebSphere Process Server基于WebSphere Application Server和WebSphere Enterprise Service Bus,它為面向服務(wù)的體系結(jié)構(gòu)(SOA)的模塊化應(yīng)用程序提供了基礎(chǔ),并支持應(yīng)用業(yè)務(wù)規(guī)則,以驅(qū)動(dòng)支持業(yè)務(wù)流程的應(yīng)用程序。高性能環(huán)境還使用 WebSphere Extended Deployment作為其基礎(chǔ)設(shè)施的一部分。為其他 WebSphere產(chǎn)品提供了廣泛的其他服務(wù)。 

2、漏洞描述

2021年4月23日,深信服安全團(tuán)隊(duì)監(jiān)測(cè)到WebSphere Application Server官方發(fā)布了一則安全通告,通告披露了WebSphere Application Server組件存在2個(gè)高危漏洞,漏洞編號(hào):CVE-2021-20453,CVE-2021-20454。


CVE-2021-20453:XML外部實(shí)體注入漏洞

評(píng)分:8.2,威脅等級(jí):高危。IBM WebSphere Application Server在處理XML數(shù)據(jù)時(shí)容易受到XML外部實(shí)體注入(XXE)攻擊。遠(yuǎn)程攻擊者可利用此漏洞來(lái)竊取敏感信息。


CVE-2021-20454:XML外部實(shí)體注入漏洞

評(píng)分:8.2,威脅等級(jí):高危。IBM WebSphere Application Server在處理XML數(shù)據(jù)時(shí)容易受到XML外部實(shí)體注入(XXE)攻擊。遠(yuǎn)程攻擊者可利用此漏洞來(lái)竊取敏感信息。

漏洞公示

如何檢測(cè)組件系統(tǒng)版本

方法一、登錄websphere管理平臺(tái)首頁(yè)查看版本信息。


方法二、進(jìn)入/opt/IBM/WebSphere/AppServer/bin目錄下,執(zhí)行./versionInfo.sh即可查看當(dāng)前版本,查看Package日期,如果低于20210423則說(shuō)明存在安全風(fēng)險(xiǎn)。

參考網(wǎng)站

暫無(wú)

受影響實(shí)體

WebSphere是IBM 的軟件平臺(tái)。全球有幾十萬(wàn)臺(tái)服務(wù)器部署該平臺(tái),可能受漏洞影響的資產(chǎn)廣泛分布于世界各地,中國(guó)大陸省份中主要集中在北京,廣東等地。


目前受影響的WebSphere版本:

WebSphere Application Server: 7.0

WebSphere Application Server: 8.0

WebSphere Application Server: 8.5

WebSphere Application Server: 9.0

補(bǔ)丁

當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶及時(shí)更新升級(jí)到最新版本。補(bǔ)丁下載地址:

CVE-2021-20453:

https://www.ibm.com/support/pages/node/6445171

CVE-2021-20454:

https://www.ibm.com/support/pages/node/6445481

訪問(wèn)補(bǔ)丁鏈接,登錄相關(guān)賬號(hào),選擇對(duì)應(yīng)版本進(jìn)行下載:


這里以下載9.0.0.0-ws-wasprod-ifph31727.zip 為例,點(diǎn)擊下載鏈接”FC”,跳轉(zhuǎn)頁(yè)面選擇繼續(xù)


跳轉(zhuǎn)頁(yè)面,選擇同意相關(guān)條款,點(diǎn)擊立即下載


若點(diǎn)擊立即下載無(wú)響應(yīng),需下載IBM Download Director工具進(jìn)行下載


重新加載下載頁(yè)面,激活I(lǐng)BM Download Director工具進(jìn)行下載


啟動(dòng)IBM Installation Manager 工具,

文件--->首選項(xiàng)--->存儲(chǔ)庫(kù)-->添加存儲(chǔ)庫(kù)(勾選選擇已經(jīng)下載的9.0.0.0-ws-wasprod-ifph31727.zip)-->測(cè)試連接-->確定


回到IBM Installation Manager主界面選擇安裝(用戶也可選擇更新,勾選相關(guān)軟件包在線下載進(jìn)行安裝)


勾選已安裝版本,選擇下一步,繼續(xù)下一步,點(diǎn)擊安裝



完成IBM WebSphere Application Server 補(bǔ)丁安裝,然后點(diǎn)擊“完成”按鈕結(jié)束更新。