威脅預警：IBM InfoSphere系列產品中發現多處高危安全漏洞

近期，網路安全公司SEC Consult披露了影響IBM InfoSphere DataStage以及IBM InfoSphere Information Server等產品的若干個未修復漏洞的詳細信息。

據悉，IBM InfoSphere DataStage 是一款強大的基於圖形化界面的 ETL 工具，它可以從多個不同的業務系統，多個平台的數據源中抽取數據、轉換數據、裝載數據到各種目標系統中；而IBM InfoSphere Information Server 則是一種數據集成平台，具有高度的可擴展性和靈活性，提供大規模並行處理能力，能夠通過可信的信息形成深入洞察。

安全研究人員表示，這些漏洞已於今年5月23日報告給了產品供應商，但更新程序直至現在也沒有發布。目前，IBM公司只是發布了針對每個問題的建議，提供了如何減輕潛在威脅的安全策略。

SEC Consult公司研究人員在InfoSphere DataStage 11.5版本中發現了一系列屬於「高危」級別的漏洞，但是後來，IBM公司確定稱，這些漏洞也會影響InfoSphere Information Server以及DataStage 9.1、11.3和11.5等版本。

據悉，這些漏洞中最嚴重的是CVE-2017-1468，CVSS得分8.4。該安全漏洞存在的原因是由於Director和Designer客戶端在載入和運行可執行文件之前不會檢查文件簽名，因此可以允許本地攻擊者將任意可執行文件放在安裝目錄中並升級許可權。

另外一個高危漏洞是CVE-2017-1467，它是弱授權問題，允許攻擊者執行任意的系統命令。

IBM公司在其安全公告中表示，

未經授權的用戶可以攔截客戶端和伺服器之間的通信，並在無需特權訪問的情況下重複某些DataStage命令。

其他較為嚴重的安全漏洞還包括CVE-2017-1383（CVSS得分6.4），它是一個XML外部實體（XXE）注入漏洞，允許攻擊者從客戶端系統獲取任意文件。

此外，研究人員還發現，特權用戶可以觸發內存轉儲，其中可能包含高度敏感的明文信息，包括登錄憑證等。IBM也警告稱，應用程序可以從其主目錄載入DLL文件，而無需對這些文件進行驗證，如此一來可能會導致任意代碼執行問題。

雖然，截至目前，應用於修復這些安全漏洞的更新程序尚未發布，但是IBM公司已經為大多數問題提供了緩解建議，針對DLL劫持漏洞的緩解方案預計將於11月30日前提供給用戶。

此外，該科技巨頭（IBM）還表示，這些安全漏洞將在其正在開發的新客戶端界面中得到徹底解決，屆時用戶可以放心使用。

最後，SEC Consult公司在其安全公告中表示，

SEC Consult建議供應商可以基於安全源代碼進行一次全面的安全評估，以便及時識別遠程管理平台中的所有安全漏洞，以便為其客戶提供更強的安全保障。

.

本文翻譯自：http://www.securityweek.com/serious-flaws-found-ibm-infosphere-products，如若轉載，請註明來源於嘶吼： http://www.4hou.com/info/news/7647.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：