当前位置:53kr资源分享 > 最新资讯 > 最新资讯 > 云安全日报200927:IBM企业私有云方案发现重要漏洞,需要尽快升级
QbBaOfRqQbBaOfRq 最新资讯

云安全日报200927:IBM企业私有云方案发现重要漏洞,需要尽快升级

Cloud Private是IBM公司一个变革性的私有云平台,可从受防火墙保护的数据中心的安全性中提供公共云的优势。它是一个基于Kubernetes的容器架构构建的集成云平台,旨在帮助快速创建新的云原生应用程序,并在客户端控制的,高度安全的环境中现代化现有工作负载。IBM Cloud Private允许开发人员使用内置的开发工具和服务,同时使运营团队可以访问企业级管理工具,以帮助保持平台的安全性和最新性。

不过,9月26日IBM发布了安全公告更新,IBM Cloud Private爆出重要,需要尽快升级。以下是漏洞详情:

漏洞详情

1.第三方条目: 183560CVSS评分: 7.5 高

由于Node.js lodash(lodash是一个一致性、模块化、高性能的 JavaScript 实用工具库)工具库中存在拒绝服务漏洞,IBM Cloud Private容易受到Node.js lodash漏洞的攻击。

受影响产品和版本

IBM Cloud Private 3.2.1 持续交付(CD)版本

IBM Cloud Private 3.2.2 持续交付(CD)版本

解决方案

对于IBM Cloud Private 3.2.1,应用八月修订包:

IBM Cloud Private 3.2.1.2008

对于IBM Cloud Private 3.2.2,应用八月修订包:

IBM Cloud Private 3.2.2.2008

对于IBM Cloud Private 3.1.0、3.1.1、3.1.2、3.2.0:

升级到最新的持续交付(CD)更新软件包,IBM Cloud Private 3.2.2。

如果需要,可以在CD更新包之间提供单个产品修复程序,以解决问题。联系IBM支持以获取帮助

2. CVEID: CVE-2019-1547CVSS评分: 5.5 中

在计算机网络上,OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。

在OpenSSL EC组中,通常总是存在一个辅助因子,并且该辅助因子用于抗侧通道的代码路径中。但是,在某些情况下,可以使用显式参数(而不是使用命名曲线)来构造组。在那些情况下,这样的基团可能不存在辅因子。即使所有参数都匹配已知的命名曲线,也会发生这种情况。如果使用这样的曲线,则OpenSSL会退回到非旁通道抗性代码路径,这可能会导致ECDSA签名操作期间的完全密钥恢复。这些安全漏洞会影响IBM Cloud Private-OpenSSL

3. CVEID: CVE-2019-1549CVSS评分: 3.7 中低

OpenSSL 1.1.1引入了重写的随机数生成器(RNG)。旨在在fork()系统调用时提供保护,以确保父进程和子进程不会共享相同的RNG状态。但是,默认情况下未使用此保护,存在的安全漏洞会影响IBM Cloud Private-OpenSSL。此问题的部分缓解措施是,高精度计时器的输出被混入RNG状态,因此父子进程共享状态的可能性大大降低。如果应用程序已经使用OPENSSL_INIT_ATFORK显式调用OPENSSL_init_crypto(),则根本不会发生此问题。

4.CVEID: CVE-2019-1563CVSS评分: 3.7 中低

在攻击者收到解密尝试成功或失败的自动通知的情况下,攻击者在发送大量要解密的消息后,可以恢复CMS / PKCS7传输的加密密钥或使用Bleichenbacher填充oracle攻击解密使用公共RSA密钥加密的任何RSA加密消息。这些安全漏洞会影响IBM Cloud Private-OpenSSL。如果应用程序使用证书以及CMS_decrypt或PKCS7_decrypt函数的RSA私钥来选择要解密的正确收件人信息,则应用程序不会受到影响。

受影响的产品和版本

IBM Cloud Private 3.2.0 持续交付(CD)版本

IBM Cloud Private 3.2.1 持续交付(CD)版本

解决方案

对于IBM Cloud Private 3.2.0,请应用11月修订包:

IBM Cloud Private 3.2.0.1911修订包

对于IBM Cloud Private 3.2.1,请应用11月修订包:

IBM Cloud Private 3.2.1.1911修订包

更新以包括针对Logging和Mongodb的其他修复

对于IBM Cloud Private 3.2.1,请应用八月修订包:

IBM Cloud Private 3.2.1.2008修订包

对于IBM Cloud Private 3.2.2,应用八月修订包:

IBM Cloud Private 3.2.2.2008修订包

查看更多漏洞信息 以及升级请访问官网:

https://www.ibm.com/blogs/psirt/

免责申明:
1. 本站所有下载资源均不包含技术支持和安装服务!需要讨论请进群!
2. 分享目的仅供大家学习和交流,请不要用于商业用途!
3. 如果你也有好源码或者教程,可以到审核区发布,分享有KR奖励和额外收入!
4. 如有链接无法下载、失效或广告,请联系管理员处理!
5. 本站无法保证资源或破解时效性,如某些授权码过期等问题,恕不在修复范围内。
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!故不接受任何形式的退款,如确认资源确有问题的,会补给相应KR以供再次购买。
7. 53Kr源码暂未发现后门代码,但无法保证100%安全,推荐检测方法:上传到 https://www.virustotal.com/在线查看是否有恶意代码以及其他有后门嫌疑的代码。
8. 在本站下载的源码我还是不建议正式使用,有特别喜欢的可以去程序官方购买。
53kr资源站仅提供学习的平台,所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,并不承担任何法律责任,如果对您的版权或者利益造成损害,请提供相应的资质证明,我们将于3个工作日内予以删除。
53kr资源分享 » 云安全日报200927:IBM企业私有云方案发现重要漏洞,需要尽快升级
分享到:

发表回复