IBM Cloud™ Paks是IBM公司企业级的容器化软件多云解决方案，帮助客户更迅速、更安全地将核心业务应用程序迁移到任何云端。每个IBM Cloud Pak™ 在通用集成层之上均包含用于开发和管理的容器化IBM中间件和通用软件服务，旨在将开发时间缩短高达84%，将运营费用减少高达75%。

12月14日晚,IBM发布了安全更新,修复了IBM Cloud™ Paks混合多云管理平台中发现的一些重要漏洞。以下是漏洞详情:

漏洞详情

-2020-8178 CVSS评分: 高危

来源:/support/pages/node/

jison中的一个安全漏洞会影响IBM Cloud Pak for Multicloud Management托管服务。由于输入验证不足， jison可能允许远程攻击者通过发送特制请求在系统上执行任意命令。

2.第三方条目: CVSS评分: 高危

来源:/support/pages/node/

serialize-javascript中的一个安全漏洞会影响IBM Cloud Pak for Multicloud Management托管服务。

-2020-16845 CVSS评分: 高

来源:/support/pages/node/

Go语言容易受到拒绝服务的影响，这是由于ReadUvarint和ReadVarint在编码/二进制中的无限读取循环引起的。通过发送特制的输入，远程攻击者可以利用此漏洞导致拒绝服务状况。

-2020-15168 CVSS评分: 高

来源:/support/pages/node/

node-fetch模块中的安全漏洞会影响IBM Cloud Pak for Multicloud Management托管服务。 node-fetch模块容易受到拒绝服务的攻击，这是由于重定向后无法遵守size选项所致。通过使用特制文件，远程攻击者可以利用此漏洞消耗系统上过多的资源。

受影响产品和版本

IBM Cloud Pak for Multicloud Management

解决方案

按照/support/knowledgecenter/zh-CN//install/中的指示信息，升级到IBM Cloud Pak for Multicloud Management 版本。

查看更多漏洞信息 以及升级请访问官网:

/blogs/psirt/