IBM WebSphere Application Server（WAS）是美国IBM公司的一款集优化、创建并连接内部部署和云端部署的应用产品。该产品是JavaEE和Web服务应用程序的平台，也是IBM WebSphere软件平台的基础。不过根据9月17日IBM安全公告显示，该产品爆出重要漏洞，需要尽快升级。以下是漏洞详情:

漏洞详情

CVEID:CVE-2020-4643   CVSS评分: 高

来源:

/support/pages/node/

WebSphere Application Server容易受到信息泄露漏洞的攻击。在处理XML数据时，IBM WebSphere Application Server容易受到XML外部实体注入（XXE）攻击。

外部实体注入（XXE）攻击

XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量，可以内部声明或外部引用。XML外部实体注入（XXE），通过DTD外部实体声明，输入恶意代码，进行攻击。攻击者利用此漏洞可以读取任意文件，执行系统命令，攻击内网网站等。

受影响产品和版本

此漏洞影响WebSphere Application Server , , , 版本

解决方案

对于传统的WebSphere Application Server和WebSphere Application Server Hypervisor Edition:

对于.0到.5:

根据临时修订要求升级到最低修订包级别，然后应用临时修订PH27509或应用修订包.6或更高版本（目标可用性4Q2020）。

对于.0到.17:

根据临时修订要求升级到最低修订包级别，然后应用临时修订 PH27509-

或应用修订包.19或更高版本（目标可用性1Q2021）。

对于.0到.15:

升级到.15，然后应用Interim Fix PH27509

对于.0到.45:

升级到.45，然后应用临时修订PH27509

这里需要注意的是:WebSphere Application Server 和不再完全受支持。IBM建议升级到该产品的受支持的修复版本/发行版/平台。

 

查看更多漏洞信息 以及升级请访问官网:

/blogs/psirt/