WebSphere Application Server XML外部实体注入漏洞 (CVE-2021-20453/4)
无国界 2021-04-23
IBM WebSphere Application Server(WAS)是一种高性能的Java应用服务器,可用于构建、运行、集成、保护和管理内部部署和外部部署的动态云和Web应用。它不仅能够确保高性能和灵活性,还提供多种开放标准编程模型选项,旨在最大程度提高开发人员的生产力。它可提供灵活先进的性能、冗余和编程模型。
对此,四川无国界建议广大用户及时将WebSphere Application Server升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
一、WAS XML漏洞详情
1、CVE-2021-20453: XML外部实体注入漏洞
在处理XML数据时,IBM WebSphere Application Server容易受到XML外部实体注入(XXE)攻击。远程攻击者可利用此漏洞来泄露敏感信息或消耗内存资源。
CVE ID: CVE-2021-20453
组件: WebSphere Application Server
CVSS 评分:8.2
漏洞类型:XML外部实体注入
评级与影响:高危漏洞,易导致敏感信息泄漏、内存资源消耗
2、CVE-2021-20454: XML外部实体注入漏洞
在处理XML数据时,IBM WebSphere Application Server容易受到XML外部实体注入(XXE)攻击。远程攻击者可利用此漏洞来泄露敏感信息或消耗内存资源。
CVE ID: CVE-2021-20454
组件:WebSphere Application Server
CVSS 评分:8.2
漏洞类型:XML外部实体注入
评级与影响:高危漏洞,易导致敏感信息泄漏、内存资源消耗
二、WAS XML漏洞影响版本:WebSphere Application Server: 7.0、8.0、8.5、9.0
三、WAS XML漏洞临时修补建议
1、CVE-2021-20454
V9.0.0.0至9.0.5.7:根据临时修订要求升级到最低修订包级别,然后下载补丁PH34048
V8.5.0.0到8.5.5.19:根据临时修订要求升级到最低修订包级别,然后下载补丁PH34048
V8.0.0.0到8.0.0.15:升级到8.0.0.15,然后下载补丁PH34048对于V7.0.0.0到7.0.0.45:升级到7.0.0.45,然后下载补丁PH34048
2、CVE-2021-20453
V9.0.0.0至9.0.5.7:根据临时修订要求升级到最低修订包级别,然后下载补丁PH34067
V8.5.0.0到8.5.5.19:根据临时修订要求升级到最低修订包级别,然后下载补丁PH34067
V8.0.0.0到8.0.0.15:升级到8.0.0.15,然后下载补丁PH34067
四、通告来源
1、 CVE-2021-20453漏洞通告:https://www.ibm.com/support/pages/node/6445171
2、 CVE-2021-20454漏洞通告:https://www.ibm.com/support/pages/node/6445481
对此,四川无国界建议广大用户及时将WebSphere Application Server升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
一、WAS XML漏洞详情
1、CVE-2021-20453: XML外部实体注入漏洞
在处理XML数据时,IBM WebSphere Application Server容易受到XML外部实体注入(XXE)攻击。远程攻击者可利用此漏洞来泄露敏感信息或消耗内存资源。
CVE ID: CVE-2021-20453
组件: WebSphere Application Server
CVSS 评分:8.2
漏洞类型:XML外部实体注入
评级与影响:高危漏洞,易导致敏感信息泄漏、内存资源消耗
2、CVE-2021-20454: XML外部实体注入漏洞
在处理XML数据时,IBM WebSphere Application Server容易受到XML外部实体注入(XXE)攻击。远程攻击者可利用此漏洞来泄露敏感信息或消耗内存资源。
CVE ID: CVE-2021-20454
组件:WebSphere Application Server
CVSS 评分:8.2
漏洞类型:XML外部实体注入
评级与影响:高危漏洞,易导致敏感信息泄漏、内存资源消耗
二、WAS XML漏洞影响版本:WebSphere Application Server: 7.0、8.0、8.5、9.0
| 影响版本 | CVE-2021-20454 | CVE-2021-20453 |
| WebSphere Application Server | 9.0 | 9.0 |
| WebSphere Application Server | 8.5 | 8.5 |
| WebSphere Application Server | 8.0 | 8.0 |
| WebSphere Application Server | 7.0 |
三、WAS XML漏洞临时修补建议
1、CVE-2021-20454
V9.0.0.0至9.0.5.7:根据临时修订要求升级到最低修订包级别,然后下载补丁PH34048
V8.5.0.0到8.5.5.19:根据临时修订要求升级到最低修订包级别,然后下载补丁PH34048
V8.0.0.0到8.0.0.15:升级到8.0.0.15,然后下载补丁PH34048对于V7.0.0.0到7.0.0.45:升级到7.0.0.45,然后下载补丁PH34048
2、CVE-2021-20453
V9.0.0.0至9.0.5.7:根据临时修订要求升级到最低修订包级别,然后下载补丁PH34067
V8.5.0.0到8.5.5.19:根据临时修订要求升级到最低修订包级别,然后下载补丁PH34067
V8.0.0.0到8.0.0.15:升级到8.0.0.15,然后下载补丁PH34067
四、通告来源
1、 CVE-2021-20453漏洞通告:https://www.ibm.com/support/pages/node/6445171
2、 CVE-2021-20454漏洞通告:https://www.ibm.com/support/pages/node/6445481
上一篇: 国家公安部等四部门联合规定,规范39类常见APP个人信息采集范围
下一篇: 网络产品安全漏洞管理规定
