【漏洞预警】WebSphere任意文件读取(CVE-2019-4505)漏洞预警通告
【漏洞预警】WebSphere任意文件读取(CVE-2019-4505)漏洞预警通告
预警编号:NS-2019-0040
2019-09-21
TAG: | WebSphere、文件读取、CVE-2019-4505 |
|---|---|
漏洞危害: | 高,攻击者利用此漏洞,可读取服务器任意文件。 |
应急等级: | 蓝色 |
版本: | 1.0 |
1
漏洞概述
2019年9月18日 IBM官方发布CVE-2019-4505的安全通告,披露了一个WebSphere 的任意文件读取(CVE-2019-4505)漏洞 ,IBM WebSphere (Web 服务部署中间件)允许远程攻击者构造特定的URL获取服务器上的敏感文件。导致攻击者可以查看某个目录中的任何文件。攻击者可以通过该漏洞获取文件的敏感信息进行进一步的利用。
参考链接:
https://www.ibm.com/support/pages/security-bulletin-information-disclosure-websphere-application-server-nd-cve-2019-4505
SEE MORE →
2影响范围
受影响版本
- WebSphere Application Server Version 9.0
- WebSphere Application Server Version 8.5
- WebSphere Application Server Version 8.0
- WebSphere Application Server Version 7.0
不受影响版本
- WebSphere Application Server Version 9.0.5.1之后的版本(预计2019年第三季度发布)
- WebSphere Application Server Version 8.5.5.7之后的版本(预计2020年第一季度发布)
3漏洞防护
3.1 官方升级
目前IBM官方已针对该漏洞发布了Websphere最新安全补丁,请受影响的用户尽快安装更新进行防护,补丁下载链接:
https://www.ibm.com/support/pages/node/1073902
各受影响版本对应的升级规则如下:
WebSphere Application Server traditional和 WebSphere Application Server Hypervisor Edition:
9.0.0.0到9.0.5.0版本升级到9.0.5.1之后的版本
8.5.0.0到8.5.5.16版本升级到8.5.5.17之后的版本
WebSphere Virtual Enterprise Edition:
升级到最新版本
注:官方已不再对WebSphere Virtual Enterprise V7和V8进行支持,建议升级到支持的产品版本。
END
作者:绿盟科技安全服务部
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。