云安全日报220412：IBM企业B2B平台软件发现执行任意代码漏洞,需要尽快升级

IBM Sterling B2B Integrator是美国IBM公司的一套集成了重要的B2B流程、交易和关系的软件。该软件支持与不同的合作伙伴社区之间实现复杂的B2B流程的安全集成。T1J28资讯网——每日最新资讯28at.com

4月11日,IBM发布了安全更新,修复了IBM企业B2B平台软件中发现的执行任意代码漏洞。以下是漏洞详情：T1J28资讯网——每日最新资讯28at.com

漏洞详情T1J28资讯网——每日最新资讯28at.com

来源: https://www.ibm.com/support/pages/node/6570975T1J28资讯网——每日最新资讯28at.com

CVE-2022-22965 CVSS评分：9.8 严重程度:重要T1J28资讯网——每日最新资讯28at.com

Spring Framework 可能允许远程攻击者在系统上执行任意代码，这是由于对与数据绑定一起使用的 PropertyDescriptor 对象的不当处理引起的。通过向 Spring Java 应用程序发送特制数据，攻击者可以利用此漏洞在系统上执行任意代码。注意：该漏洞利用需要 Spring Framework 在 Tomcat 上作为 WAR 部署运行，使用 JDK 9 或更高版本，使用 spring-webmvc 或 spring-webflux。注意：此漏洞也称为 Spring4Shell 或 SpringShell。IBM Sterling B2B Integrator 受到Spring Framework 中远程代码执行的影响。T1J28资讯网——每日最新资讯28at.com

受影响产品和版本T1J28资讯网——每日最新资讯28at.com

IBM Sterling B2B Integrator 6.0.0.0 - 6.0.3.5, 6.1.0.0 - 6.1.0.4, 6.1.1.1版本T1J28资讯网——每日最新资讯28at.com

解决方案T1J28资讯网——每日最新资讯28at.com

IBM Sterling B2B Integrator 受到影响，但未被归类为易受 Spring Framework 中远程代码执行 (CVE-2022-22965) 的影响，因为它不满足以下所有标准：1. JDK 9 或更高版本，2. Apache Tomcat 作为Servlet 容器，3. 打包为 WAR（与 Spring Boot 可执行 jar 相比），4. Spring-webmvc 或 spring-webflux 依赖项，5. Spring Framework 版本 5.3.0 到 5.3.17、5.2.0 到 5.2.19 , 和旧版本。出于谨慎考虑，IBM官方将在未来的版本中升级 Spring Framework。T1J28资讯网——每日最新资讯28at.com

查看更多漏洞信息 以及升级请访问官网：T1J28资讯网——每日最新资讯28at.com

https://www.ibm.com/blogs/psirt/T1J28资讯网——每日最新资讯28at.com

本文链接：http://www.28at.com/showinfo-119-2273-0.html云安全日报220412：IBM企业B2B平台软件发现执行任意代码漏洞,需要尽快升级

声明：本网页内容旨在传播知识，若有侵权等问题请及时与本网联系，我们将在第一时间删除处理。邮件：2376512515@qq.com

上一篇： 云计算的未来，属于“国家队”？

下一篇： 谷歌高管解读：如何在2030年之前100%使用无碳能源运作数据中心