IBM 多款产物爆出漏洞，或严重影响银行等金融机构

IBM是全球最大的信息技能和业务解决方案公司，其全球能力包括服务、软件、硬件体系、研发及相干融资支持。IBM始终以超前的技能、精彩的管理和独树一帜的产物领导着信息产业的发展，包管了世界范围内险些全部行业用户对信息处置惩罚的全方位需求。

不外IBM于7月31日公布了宁静公告，IBM 旗下多款产物存在大量漏洞，或严重影响银行等金融机构。以下是漏洞详情：

一．金融事件管理器（FTM HVP）

IBM Financial Transaction Manager for High Value Payments for Multi-Platform（FTM HVP）是美国IBM公司的一款适用于多平台的金融事件管理器。该产物主要用于银行等金融机构来监控、跟踪和陈诉金融支付和买卖业务。

漏洞详情

1．跨站脚本漏洞（CVE-2020-4560）

IBM Financial Transaction Manager 3.2.4容易受到跨站点脚本的攻击。此漏洞允许用户在Web UI中嵌入任意JavaScript代码，从而改变预期的功效，从而可能导致可信会话中的凭据泄露。

2.SQL注入漏洞（CVE-2020-4328）

IBM Financial Transaction Manager 3.2.4容易受到SQL注入的攻击。远程攻击者可以发送特制的SQL语句，这可能使攻击者可以检察，添加，修改或删除后端数据库中的信息。

漏洞修复

FTM HVP升级至： 3.2.4.0-FTM-HVP-MP-iFix0001 可修复上述两个漏洞

二．应用服务器WAS

IBM WebSphere Application Server（WAS）是美国IBM公司的一款应用服务器产物。该产物是JavaEE和Web服务应用程序的平台，也是IBMWebSphere软件平台的基础。IBM WAS中存在宁静漏洞。

漏洞详情

远程攻击漏洞（CVE-2020-4534）

IBM WAS可能允许当地颠末身份验证的攻击者得到由于对UNC路径的不正确处置惩罚而导致的体系特权提升。通过使用特制的UNC路径调理使命，攻击者可以利用此漏洞执行具有更高特权的任意代码。

受到影响产物及版本：

IBM WAS 9.0版本，8.5版本，8.0版本， 7.0版本。

漏洞修复

对于传统的WebSphere Application Server和WebSphere Application Server Hypervisor Edition：

对于V9.0.0.0到9.0.5.4：·

根据临时修订要求升级到最低修订包级别，然后应用临时修订PH26083-

或应用修订包9.0.5.5或更高版本（目标可用性为3Q2020）。

对于V8.5.0.0到8.5.5.17：

根据临时修订要求升级到最低修订包级别，然后应用临时修订PH26083-

或应用修订包8.5.5.18或更高版本（目标可用性3Q2020）。

对于V8.0.0.0到8.0.0.15：升级到8.0.0.15，然后应用临时修订PH26083

对于V7.0.0.0到7.0.0.45：升级到7.0.0.45，然后应用临时修订PH26083

三． i2 Analysts Notebook数据可视化分析工具

IBM i2 Analysts Notebook是美国IBM公司的一款数据可视化分析工具。该产物支持数据存储和数据分析等功效。

1．内存损坏漏洞（CVE-2020-4549/CVE-2020-4550/CVE-2020-4551/CVE-2020-4552/CVE-2020-4553/CVE-2020-4554）

IBM i2 Analyst的Notebook可能允许当地攻击者在体系上执行由内存损坏引起的任意代码。通过诱使受害者打开特制文件，攻击者可以利用此漏洞在体系上执行任意代码。

受影响产物及版本：

IBM i2 Analyst的Notebook 9.2.1

IBM i2 Analyst的Notebook Premium 9.2.1

漏洞修复

在线升级到最新程序包可修复此漏洞

四．Cognos Analytics商业智能软件

IBM Cognos Analytics是美国IBM公司的一套商业智能软件。该软件包括报表、仪表板和记分卡等，并可通过分析要害因素与要害人等内容，协助企业调解决议。

IBM Cognos Analytics中jQuery UI容易受到跨站点脚本的攻击，这是由用户提供的输入的不正确验证引起的。一旦单击URL，远程攻击者便可以使用特制URL中的title参数利用此漏洞在宿主Web站点的宁静上下文中在受害者的Web欣赏器中执行脚本。攻击者可能利用此漏洞窃取受害者基于Cookie的身份验证凭据。

漏洞详情

1．特权升级漏洞（CVE-2019-4589）

IBM Cognos Analytics容易受到特权升级的影响，在该特权升级中，“我的日程摆设和订阅”页面可见，而且特权较低的用户可以访问该页面。

2． 信息泄露漏洞（CVE-2019-4366）

IBM Cognos Analytics容易受到信息泄露漏洞的攻击，攻击者可能会利用该漏洞访问缓存的欣赏器数据。

3.XML注入漏洞（CVE-2020-4377）

IBM Cognos Anaytics在处置惩罚XML数据时容易受到XML外部实体注入（XXE）攻击。远程攻击者可能利用此漏洞来泄露敏感信息或消耗内存资源。

受影响产物及版本：

IBM Cognos Analytics 11.1

IBM Cognos Analytics 11.0（11.0.13 FP2之前的版本）

漏洞修复

对于IBM Cognos Analytics 11.1.x：

推荐的解决方案是尽快对列出的版本应用此修复程序。

下载IBM Cognos Analytics 11.1.7.0

对于IBM Cognos Analytics 11.0.x：

IBM Cognos Analytics 11.0.x仅易受CVE-2016-7103的攻击，这仅适用于IBM Cognos Analytics 11.0.13 FP2之前的版本。

推荐的解决方案是应用IBM Cognos Analytics 11.0.x的最新可用版本。

IBM Cognos Analytics 11.0.13修订包3

责任编辑：张玫