1. 首页>
  2. 资讯中心

【安全通告】 WebSphere XML外部实体注入(XXE)漏洞安全风险通告(CVE-2020-4949)

腾讯云 2021年01月30日 浏览81

    新闻 资讯 腾讯云代理 腾讯云直播申请 游戏上云

摘要:

尊敬的腾讯云用户,您好!近日,腾讯云安全运营中心监测到,IBM发布公告,披露出其WebSphere Application Server存在XXE漏洞。漏洞编号CVE-2020-4949 远程攻击者可能利用此漏洞来泄露敏感信息或消耗内存资源。 为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。漏洞详情

IBM WebSphere Application Server(WAS)是由IBM遵照开放标准,例如Java EE、XML及Web Services,开发并发行的一种应用服务器。



官方公告称,通过该漏洞,IBM WebSphere Application Server 在处理XML数据时,可受到XML外部实体注入(XXE)攻击。远程攻击者可能利用此漏洞来泄露敏感信息或消耗内存资源。

风险等级漏洞风险攻击者可通过该漏洞获取敏感信息或消耗内存资源影响版本

WebSphere Application Server V9.0.0.0 - 9.0.5.6

WebSphere Application Server V8.5.0.0 - 8.5.5.18

WebSphere Application Server V8.0.0.0 - 8.0.0.15

WebSphere Application Server V7.0.0.0 - 7.0.0.45


安全版本

WebSphere Application Server >= 9.0.5.7

WebSphere Application Server >= 8.5.5.19

WebSphere Application Server >= 8.0.0.15

WebSphere Application Server >= 7.0.0.45


修复建议

请检查所使用的软件版本是否受影响,并根据官方修复指引进行修复

官方修复指导:

https://www.ibm.com/support/pages/node/6407078


【备注】:建议您在升级前做好数据备份工作,避免出现意外腾讯云安全解决方案
- 腾讯 T-Sec Web 应用防火墙已支持防护WebSphere Application Serve XML外部实体(XXE)注入漏洞(CVE-2020-4949)
漏洞参考
https://www.ibm.com/support/pages/node/6408244


相关文章

腾讯云服务器

为企业提供:云服务器/视频/游戏/微信开发/软件/网站/APP…云解决方案

  • QQ群咨询:377986805 咨询电话:15818558013
  • 技术支持:0755-33940501-808 17603077568
  • 产品咨询:0755-33940501-803 15818558013