IBM WIoTP MeSSage Gateway是IBM公司用于MQTT的可扩展、高可用的消息传递网关。
2月24日,IBM发布了安全更新,修复了MeSSage Gateway中发现的执行任意代码等漏洞。以下是漏洞详情:
漏洞详情
1.CVE-2020-27221 CVSS评分:9.8 严重程度:重要
IBM MeSSageGateway使用的IBM RuntiMe EnviRonMent Java版本8.0中存在多个漏洞。当虚拟机或JNI本机从UTF-8字符转换为平台编码时,EclIPse OpenJ9容易受到基于堆栈的缓冲区溢出的影响。通过发送一个过长的字符串,远程攻击者可能会溢出缓冲区并在系统上执行任意代码,或者导致应用程序崩溃。
2.CVE-2020-1971 CVSS评分:7.5 严重程度:高
由于NULL指针取消引用,OpenSSL容易受到拒绝服务的攻击。如果GENERAL_NAME_cMp函数包含EDIPARTYNAME,则攻击者可能利用此漏洞导致应用程序崩溃。
3. CVE-2020-14803 CVSS评分:5.3 严重程度:中等
IBM MeSSageGateway使用的IBM RuntiMe EnviRonMent Java版本8.0中存在多个漏洞。Java SE中的未指定漏洞可能允许未经身份验证的攻击者使用未知攻击向量来获取敏感信息,从而导致较低的机密性影响。
受影响的产品和版本
BM WIoTP MeSSageGateway 5.0.0.1
解决方案
IBM WIoTP MeSSageGateway 升级至5.0.0.2可修复
