PowerVM Novalink(以下简称Novalink)是IBM公司在PowerVM服务器上用于虚拟化管理的软件。Novalink支持高度可扩展的现代云管理和关键企业工作负载的部署。Novalink可以在PowerVM服务器上快速配置大量虚拟机,简化了新系统的部署,降低复杂性并提高服务器管理基础架构的安全性。
不过根据9月7日IBM安全公告显示,该管理软件爆出高危漏洞,需要尽快升级。以下是漏洞详情:
漏洞详情
: CVE-2019-4720 CVSS评分: 高
来源:
/support/pages/node/
IBM WebSphere Application Server Liberty是IBM公司的一款构建于Open Liberty(Open Liberty 是一个高模块化、快速和高动态性的应用服务器运行时环境)项目之上的Java应用程序服务器。Novalink使用WebSphere Application Server Liberty。 IBM WebSphere Application Server 、、和容易因发送特制请求而导致拒绝服务。远程攻击者可能利用此漏洞导致服务器消耗所有可用内存。
: CVE-2019-4732 CVSS评分: 高
来源:
/support/pages/node/
Novalink使用IBM Java SDK / JRE。IBM Java SDK / JRE中存在一个公开披露的漏洞。IBM SDK,Java技术版本.0至.55、.0至.55和.0至.0可允许经过本地身份验证的攻击者在系统上执行任意代码。该漏洞是由于Microsoft Windows客户端中的DLL搜索顺序劫持漏洞引起的。通过将特制文件放在受感染的文件夹中,攻击者可以利用此漏洞在系统上执行任意代码。
: CVE-2019-17573 CVSS评分: 中
来源:
/support/pages/node/
Novalink使用WebSphere Application Server Liberty。WebSphere Application Server Liberty中存在一个影响WebSphere Liberty JAX-WS中间漏洞的Apache CXF(Web服务框架)。由于服务列表页面对用户提供的输入进行了不正确的验证,Apache CXF容易受到跨站点脚本的攻击。一旦点击URL,远程攻击者便可以使用特制URL利用此漏洞在宿主Web站点的安全上下文内的受害者的Web浏览器中执行脚本。攻击者可能利用此漏洞窃取受害者基于cookie的身份验证凭据。
: CVE-2019-12406 CVSS评分: 中
来源:
/support/pages/node/
Novalink使用WebSphere Application Server Liberty。WebSphere Application Server Liberty中有Apache CXF影响中间漏洞。 Apache CXF容易受到拒绝服务的攻击,这是由于未能限制给定消息中存在的消息附件的数量引起的。通过发送包含过多消息附件的特制消息,远程攻击者可以利用此漏洞导致拒绝服务。
受影响产品和版本
上述漏洞影响Novalink .13 和.15版本
解决方案
升级到Novalink版本.16可修复
查看更多漏洞信息 以及升级请访问官网:
/blogs/psirt/
