聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
IBM MQ是一款消息队列中间件,为应用程序之间提供企业级消息,使程序之间能够传输数据并将消息发送给多个订阅用户。
IBM修复了两个均位于libcurl 库中的高危漏洞,它们均可遭远程利用。第一个是CVE-2022-27780,可使攻击者通过URL中特殊构造的主机名称绕过安全限制;第二个漏洞是CVE-2022-30115,因HSTS检查绕过缺陷而存在,可被用于通过明文HTTP获取敏感信息。
IBM MQ版本9.2 LTS、9.1 LTS、9.0 LTS和9.1CD 均易受攻击。这两个漏洞均在APAR IT40933下修复。
本周,IBM还修复了位于IBM b-type SAN导控器级交换机所使用的SANNav 软件中的一个中危信息泄露漏洞,该漏洞由数据加密不正确导致。
IBM同时修复了位于适用于 UNIX的 Sterling Connect : Direct中的一个高危拒绝服务漏洞CVE-2022-25647,它影响 Google Gson,因不可信数据的反序列化引发。IBM公司指出,攻击者可使用writeReplace() 方法利用该漏洞。适用于UNIX 6.2.0.4.iFix018的Sterling Connect : Director 中修复了该漏洞。
IBM 也更新了多份安全公告,详述了位于Security Guardium Key Lifecycle Manager (SKLM/GKLM)、Sterling B2B Integrator 和 Security Verify Governance (ISVG) 中的多个严重漏洞。
https://www.securityweek.com/ibm-patches-severe-vulnerabilities-mq-messaging-middleware
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~