关于启明星辰WebSphere SSRF漏洞通告(CVE-2020-4365)的预警通报

Posted 大连市信息网络安全协会

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了关于启明星辰WebSphere SSRF漏洞通告(CVE-2020-4365)的预警通报相关的知识,希望对你有一定的参考价值。

大网安协【2020-43

    近日,大连网络安全信息通报机制合作单位启明星辰公司提醒,关于WebSphere SSRF漏洞通告

漏洞概述 

    IBM 官方发布的最新补丁中包含启明星辰ADLab发现并第一时间提交给官方的漏洞,漏洞编号为CVE-2020-4365。通过该漏洞,远程攻击者可对目标进行SSRF攻击利用。

漏洞时间轴 

·       2020年3月17日,ADLab将漏洞详情提交给IBM官方;

·       2020年3月25日,IBM官方确认漏洞存在并开始着手修复;

·       2020年5月14日,ADLab获得CVE编号及IBM官方致谢。

 受影响版本 

WebSphere Application Server Version8.5

漏洞利用 

测试环境:安装在WindowsServer 2008下的 WebSphere 8.5

漏洞利用效果:

关于启明星辰WebSphere SSRF漏洞通告(CVE-2020-4365)的预警通报规避方案

升级最新补丁:https://www.ibm.com/support/pages/node/6209099

             启明星辰积极防御实验室(ADLab)

    ADLab成立于1999年,是中国安全行业最早成立的攻防技术研究实验室之一,微软MAPP计划核心成员,“黑雀攻击”概念首推者。截止目前,ADLab已通过CVE累计发布安全漏洞1000余个,通过 CNVD/CNNVD累计发布安全漏洞800余个,持续保持国际网络安全领域一流水准。实验室研究方向涵盖操作系统与应用系统安全研究、移动智能终端安全研究、物联网智能设备安全研究、Web安全研究、工控系统安全研究、云安全研究。研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

公司简介:

启明星辰信息技术集团股份有限公司成立于1996年,由留美博士严望佳女士创建,是国内极具实力的、拥有完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商。2010年启明星辰集团在深圳A股中小板上市(股票代码:002439)。目前,启明星辰已对网御星云、杭州合众、书生电子进行了全资收购。作为信息安全产业的领军企业,启明星辰以用户需求为根本动力,通过不断耕耘,已经成为政府、电信、金融、税务、能源、交通、军队、军工、制造等国内高端企业级客户的首选品牌。并一直保持着我国入侵检测/入侵防御、统一威胁管理、安全管理平台、运维安全审计、数据审计与防护市场占有率第一位。

 

大连办事处:大连市沙河口区兴工南五街21号尚品天城8号2901

办事处主任:李 







大连市信息网络安全协会于2004年5月,经市公安局和市民政局批准成立。协会是由大连市网络安全领域的监管部门、科研和教育部门、宣传媒体,从事网络安全技术服务以及产品研究开发、生产制造的企事业单位,大连市行政区划内的等级保护单位,以及从事网络安全工作的专业技术人员和管理人员,自愿参加的非营利性团体,具备法人资格。协会贯彻执行国家法律法规和政策,团结和组织社会各界关心支持等级保护工作的力量,宣传等级保护工作,增强等级保护单位的安全防范能力,发挥等级保护监管部门与等级保护单位之间的桥梁、纽带作用,反映诉求,协助监管机关规范和加强网络安全等级保护工作的管理,逐步建立和完善的网络安全保障机制,确保网络安全的社会化和产业化的健康发展,做到为监管部门、会员、行业发展服务。 



以上是关于关于启明星辰WebSphere SSRF漏洞通告(CVE-2020-4365)的预警通报的主要内容,如果未能解决你的问题,请参考以下文章

启明星辰关于SaltStack | REC漏洞的预警通报

风险通告WebSphere 远程代码执行漏洞

启明星辰漏洞扫描配置步骤

安全风险通告WebSphere远程代码执行漏洞安全风险通告

原创漏洞启明星辰9.8分Weblogic反序列化漏洞CVE-2018-3245补丁推出

漏洞通告WebSphere XML外部实体注入(XXE)漏洞(CVE-2020-4643)处置手册