دو آسیبپذیری حیاتی در IBM WebSphere Application Server شناسایی و برطرف شد.
دریافت صفحه با کد QR
رفع دو آسیبپذیری در IBM WebSphere Application Server
مرکز مدیریت راهبردی افتا , 8 تير 1399 ساعت 13:00
دو آسیبپذیری حیاتی در IBM WebSphere Application Server شناسایی و برطرف شد.
دو آسیبپذیری حیاتی در IBM WebSphere Application Server شناسایی و برطرف شد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در ماه آوریل یک محقق امنیتی سه آسیبپذیری جدی در فرایند موسوم به Deserialization محصول WebSphere Application Server را شناسایی و وجود آنها را به IBM گزارش کرد. اکنون IBM ضمن ترمیم این آسیبپذیها، جزییات آنها را نیز منتشر کرده است.
دو مورد از آنها با شناسههای CVE-۲۰۲۰-۴۴۴۸ و CVE-۲۰۲۰-۴۴۵۰ آسیبپذیریهایی از نوع اجرای کد از راه دور (Remote Code Execution) هستند که به آنها درجه حساسیت حیاتی (Critical) تخصیص داده شده است. بر طبق استاندارد CVSS سطح اهمیت هر دوی این آسیبپذیریها ۹,۸ اعلام شده است. مورد سوم با شناسه CVE-۲۰۲۰-۴۴۴۹ و درجه حساسیت بالا (High) نیز ضعغی از نوع افشای اطلاعات (Information Disclosure) گزارش شده است.
IBM WebSpere یک بستر نرمافزاری و میانافزار و وظیفه آن میزبانی برنامههای وب مبتنی بر Java است.
آسیبپذیریهای CVE-۲۰۲۰-۴۴۴۸ و CVE-۲۰۲۰-۴۴۵۰ از نبود اعتبارسنجی صحیح دادههای تأمین شده از سوی کاربر ناشی میشوند که در نتیجه آن امکان ورود دادههای نامعتبر به فرایند Deserialization ممکن میشود.
به گفته IBM بهرهجویی از CVE-۲۰۲۰-۴۴۴۸ مهاجم را بدون نیاز به اصالتسنجی شدن قادر به اجرای کد بر روی توزیعهای آسیبپذیر IBM WebSphere میکند. کلاس BroadcastMessageManager از این ضعف امنیتی تأثیر پذیرفته و بهرهجویی موفق از آن امکان اجرای کد با سطح دسترسی SYSTEM را فراهم میکند.
آسیبپذیری CVE-۲۰۲۰-۴۴۵۰ نیز از نحوه مدیریت ناصحیح پودمان IIOP ناشی شده و سوءاستفاده از آن از طریق ارسال دنبالهای پیاپی از اشیاء (Sequence of Serialized Objects) که بهنحو مخربی دستکاری شده میتواند منجر به اجرای کد مورد نظر مهاجم با سطح دسترسی root شود.
نسخ ۸,۵ و ۹.۰ محصول IBM WebSphere Application به این ضعفهای امنیتی آسیبپذیر گزارش شدهاند. ضمن اینکه محصول WebSphere Virtual Enterprise Edition نیز از CVE-۲۰۲۰-۴۴۴۸ تأثیر میپذیرد.
آسیبپذیری CVE-۲۰۲۰-۴۴۴۹ هم فرایند Deserialization در پودمان IIOP را متأثر کرده و به مهاجم امکان میدهد تا با ارسال دنبالهای پیاپی از اشیاء که بهنحو مخربی دستکاری شده بهصورت از راه دور و بدون نیاز به اصالتسنجی شدن به اطلاعات بالقوه حساس دست پیدا کند.
IBM اعلام کرد که شواهدی دال بر مورد بهرهجویی قرار گرفتن آنها نیافته است.
کد مطلب: 16767