云安全日报220531:IBM资产管理预测分析解决方案
IBM SPSS®Collaboration and Deployment Services是美国IBM公司一款资产管理和预测分析解决方案。它支持在整个企业中部署和共享预测性分析,提供了集中且安全的分析资产存储,以及用于管理和控制预测性分析流程的高级功能。
5月30日,IBM发布了安全更新,修复了资产管理预测分析解决方案中发现的执行任意代码等高危漏洞。以下是漏洞详情
漏洞详情
来源: https://.ibm./support/pages/node/6590869
1.CVE-2022-22965 CVSS评分9.8 严重程度:严重
Spring Frameork 可能允许远程攻击者在系统上执行任意代码,这是由于对与数据绑定一起使用的 PropertyDescriptor 对象的不当处理造成的。通过向 Spring Java 应用程序发送特制数据,攻击者可以利用此漏洞在系统上执行任意代码。注意该漏洞利用需要 Spring Frameork 在 Tomcat 上作为 WAR 部署运行,使用 JDK 9 或更高版本,使用 spring-ebmvc 或 spring-ebflux。注意此漏洞也称为 Spring4Shell 或 SpringShell。
2.CVE-2022-22970 CVSS评分6.5 严重程度:重要
Vmare Tanzu Spring Frameork 易受拒绝服务攻击,这是由文件上传处理中的缺陷引起的。通过发送特制请求,经过身份验证的远程攻击者可以利用此漏洞导致拒绝服务条件。
3.CVE-2022-22971 CVSS评分6.5 严重程度:重要
Vmare Tanzu Spring Frameork 易受拒绝服务攻击,这是由 STOMP over WebSocket 端点的缺陷引起的。通过发送特制请求,经过身份验证的远程攻击者可以利用此漏洞导致拒绝服务条件。
4.CVE-2022-22950 CVSS评分5.4 严重程度:中等
VMare Tanzu Spring Frameork 易受拒绝服务攻击,原因是输入验证不当。通过发送特制的 SpEL 表达式,远程攻击者可以利用此漏洞导致拒绝服务条件。
5.CVE-2022-22968 CVSS评分3.7 严重程度:低
Spring Frameork 可能提供比预期更弱的安全性,这是由 DataBinder 上的 disalloedFields 模式区分大小写的数据绑定规则漏洞引起的。区分大小写允许一个字段没有得到充分保护,除非它以大写和小写形式列出该字段的第一个字符。攻击者可以利用此漏洞对系统发起进一步的攻击。
受影响产品和版本
IBM SPSS®Collaboration and Deployment Services 8.0, 8.1, 8.1.1, 8.2, 8.2.1, 8.2.2, 8.3版本
解决方案
IBM SPSS®Collaboration and Deployment Services 8.0版本修复链接:
https://.ibm./support/fixcentral/sg/selectFix?product=ibm%2FInformation+Management%2FSPSS+Collaboration+and+Deployment+Services&fixids=8.0.0.0-IM-SCaDS-IF009&source=SAR&function=fixId&parent=SPSS
IBM SPSS®Collaboration and Deployment Services 8.1版本修复链接:
https://.ibm./support/fixcentral/sg/selectFix?product=ibm%2FInformation+Management%2FSPSS+Collaboration+and+Deployment+Services&fixids=8.1.0.0-IM-SCaDS-IF009&source=SAR&function=fixId&parent=SPSS
IBM SPSS®Collaboration and Deployment Services 8.1.1版本修复链接:
https://.ibm./support/fixcentral/sg/selectFix?product=ibm%2FInformation+Management%2FSPSS+Collaboration+and+Deployment+Services&fixids=8.1.1.0-IM-SCaDS-IF008&source=SAR&function=fixId&parent=SPSS
IBM SPSS®Collaboration and Deployment Services 8.2版本修复链接:
https://.ibm./support/fixcentral/sg/selectFix?product=ibm%2FInformation+Management%2FSPSS+Collaboration+and+Deployment+Services&fixids=8.2.0.0-IM-SCaDS-IF007&source=SAR&function=fixId&parent=SPSS
IBM SPSS®Collaboration and Deployment Services 8.2.1版本修复链接:
https://.ibm./support/fixcentral/sg/selectFix?product=ibm%2FInformation+Management%2FSPSS+Collaboration+and+Deployment+Services&fixids=8.2.1.0-IM-SCaDS-IF007&source=SAR&function=fixId&parent=SPSS
IBM SPSS®Collaboration and Deployment Services 8.2.2版本修复链接:
https://.ibm./support/fixcentral/sg/selectFix?product=ibm%2FInformation+Management%2FSPSS+Collaboration+and+Deployment+Services&fixids=8.2.2.0-IM-SCaDS-IF009&source=SAR&function=fixId&parent=SPSS
IBM SPSS®Collaboration and Deployment Services 8.3版本修复链接:
https://.ibm./support/fixcentral/sg/selectFix?product=ibm%2FInformation+Management%2FSPSS+Collaboration+and+Deployment+Services&fixids=8.3.0.0-IM-SCaDS-IF008&source=SAR&function=fixId&parent=SPSS
查看更多漏洞信息 以及升级请访问官网
https://.ibm./blogs/psirt/
人工智能培训
- 真正能和人交流的机器人什么时候实现
- 国产机器人成功完成首例远程冠脉介入手术
- 人工智能与第四次工业革命
- 未来30年的AI和物联网
- 新三板创新层公司东方水利新增专利授权:“一
- 发展人工智能是让人和机器更好地合作
- 新春贺喜! 经开区持续推进工业互联网平台建设
- 以工业机器人为桥 传统企业如何趟过智造这条河
- 山立滤芯SAGL-1HH SAGL-2HH
- 2015国际智能星创师大赛火热报名中!
- 未来机器人会咋看人类?递归神经网络之父-像蚂
- 成都新川人工智能创新中心二期主体结构封顶
- 斯坦德机器人完成数亿元人民币C轮融资,小米产
- 到2020年,智能手机将拥有十项AI功能,有些可能
- 寻找AI机器人的增长“跳板”:老龄化为支点的产
- 力升高科耐高温消防机器人参加某支队性能测试