【安全通告】WebSphere XML外部实体注入漏洞安全公告(CVE-2021-20453/CVE-2021-20454)
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,IBM官方发布安全公告,修复了两个WebSphere Application Server XML外部实体注入漏洞(CVE-2021-20453/CVE-2021-20454),远程攻击者可利用漏洞获取敏感信息或消耗内存资源。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
漏洞由于WebSphere Application Server在处理XML数据引入,被攻击者利用可导致XML外部实体注入(XXE)攻击。
风险等级
高危
漏洞风险
敏感信息泄露,内存资源消耗
影响版本
WebSphere Application Server 9.0.0.0 – 9.0.5.7
WebSphere Application Server 8.5.0.0 – 8.5.5.19
WebSphere Application Server 8.0.0.0 – 8.0.0.15
WebSphere Application Server 7.0.0.0 – 7.0.0.45
修复版本
WebSphere Application Server >= 9.0.5.8(预计2021年第二季度发布)
WebSphere Application Server >= 8.5.5.20(预计2021年第三季度发布)
修复建议
1. 在线升级方案:用户可通过IBM Installation Manager进行升级,根据提示进行版本更新、补丁安装。
2. 手动升级方案:
CVE-2021-20454
对于 V9.0.0.0 ~ 9.0.5.7 版本: 建议下载更新临时补丁 PH34048
对于 V8.5.0.0 ~ 8.5.5.19 版本: 建议下载更新临时补丁 PH34048
对于 V8.0.0.0 ~ 8.0.0.15 版本: 升级到8.0.0.15,然后下载更新补丁 PH34048
对于V7.0.0.0到7.0.0.45: 升级到7.0.0.45,然后下载更新补丁 PH34048
CVE-2021-20453
对于 V9.0.0.0 ~ 9.0.5.7 版本: 建议下载更新临时补丁 PH34067
对于 V8.5.0.0 ~ 8.5.5.19 版本: 建议下载更新临时补丁 PH34067
对于 V8.0.0.0 ~ 8.0.0.15 版本: 升级到8.0.0.15,然后下载补丁 PH34067
【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外
漏洞参考