云安全日报201224：IBM MQ消息中间件发现敏感信息

IBM MQ（IBM WebSphere MQ）是美国IBM公司的一款消息传递中间件产品,可以快速地在应用、系统和服务之间传递消息数据,主要为面向服务的体系结构（SOA）提供可靠的、经过验证的消息传递主干网。

12月23日,IBM发布了安全更新,修复了IBM MQ消息中间件中发现的重要漏洞。以下是漏洞详情

漏洞详情

来源https://.ibm./support/pages/node/6393332

CVE-2019-17638 CVSS评分9.4 高危

该漏洞主要是与IBM MQ Explorer捆绑在一起的Eclipse Jetty(Jetty是使用Java语言编写的一个开源的servlet容器,它为基于Java的eb容器,例如JSP和servlet提供运行环境.从某种程度上,可以把 Jetty 理解为一个嵌入式的Web服务器.)导致的。Jenkins中捆绑的Eclipse Jetty可能允许远程攻击者获取敏感信息，这是由于HTTP响应缓冲区损坏发送到不同的客户端引起的。通过发送特制的HTTP请求，攻击者可以利用此漏洞获取敏感信息，然后使用此信息对受影响的系统发起进一步的攻击。

受影响产品和版本

IBM MQ 9.2 CD

IBM MQ 9.2 LTS

解决方案

对于IBM MQ 9.2 LTS:

应用9.2.0.1修订包可修复

对于IBM MQ 9.2 CD:

升级至IBM MQ 9.2.1可修复

查看更多漏洞信息 以及升级请访问官网

https://.ibm./blogs/psirt/