IBM Cloud Pak® for Data 是IBM公司一个全面集成的数据和 AI 平台,能够为企业提供现代化的方式来收集、组织和分析数据,从而将 AI 注入整个组织。该平台基于 Red Hat® OpenShift® 简化的混合云基础而构建,充分利用了其底层资源和基础架构优化及管理。该解决方案完全支持 Amazon Web Services (AWS)、Azure、Google Cloud、IBM Cloud® 等多云环境和私有云部署。
Watson Discovery 是IBM一种屡获殊荣的企业搜索和 AI 搜索技术,也是业界顶尖的人工智能搜索和洞察产品。在分析企业数据中的趋势和关系时,检索问题的特定答案。Watson Discovery 应用了机器学习中的最新突破,包括自然语言处理功能,并且可以轻松地接受行业语言训练。与竞争对手不同,Watson Discovery 可以部署在任何云端或本地环境中。
不过根据8月29日IBM安全公告显示,IBM人工智能搜索数据平台发现高危漏洞,需要尽快升级,以下是漏洞详情:
漏洞详情
: CVE-2020-9480 CVSS评分: 高危
来源:
/support/pages/node/
用于IBM Cloud Pak for Data的IBM Watson Discovery包含易受攻击的Apache Spark版本。Apache Spark可能允许远程攻击者在系统上执行任意命令,这是由在独立主机上启用身份验证时的漏洞引起的。通过将特制的RPC发送给主服务器,攻击者可以利用此漏洞在主机上执行任意shell命令。
:CVE-2020-14195 ,CVE-2020-10673,CVE-2020-11113 等(包含13个高危漏洞,具体见官网)
CVSS评分: 高危
来源:
/support/pages/node/
用于IBM Cloud Pak for Data的IBM Watson Discovery包含FasterXML jackson-databind的易受攻击的版本。
FasterXML jackson-databind(FasterXMLjackson-databind是一个简单基于Java应用库,Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象)可能允许远程攻击者在系统上执行任意代码,这是由于不安全的反序列化引起的。通过发送特制的输入,攻击者可以利用此漏洞在系统上执行任意代码。
: CVE-2020-14583 CVSS评分: 高危
来源:
/support/pages/node/
用于IBM Cloud Pak for Data的IBM Watson Discovery包含易受攻击的Java版本。 Java SE中与库组件相关的未指定漏洞可能允许未经身份验证的攻击者造成较低的机密性影响,较低的完整性影响以及不影响可用性。
: CVE-2020-7919 CVSS评分: 高
用于IBM Cloud Pak for Data的IBM Watson Discovery包含Go的易受攻击版本,容易遭到拒绝服务。通过发送格式不正确的证书,远程攻击者可以利用此漏洞导致系统崩溃。
: CVE-2020-15586 CVSS评分: 高
用于IBM Cloud Pak for Data的IBM Watson Discovery包含Go的易受攻击版本。 Go由于某些net / http服务器中的数据争用,Go容易受到拒绝服务的攻击。通过发送特制的HTTP请求,远程攻击者可以利用此漏洞导致拒绝服务状况。
: CVE-2019-9512 CVSS评分: 高
用于IBM Cloud Pak for Data的IBM Watson Discovery包含Go的易受攻击版本。多个由于Ping Flood攻击,供应商容易受到拒绝服务的攻击。通过向HTTP / 2对等方发送连续的ping,远程攻击者可能会消耗过多的CPU资源。
受影响产品和版本
IBM Watson Discovery -
解决方案
升级到IBM Watson Discovery 可修复
查看更多漏洞信息 以及升级请访问官网:
/blogs/psirt/
