安全公告-关于WebSphere等多个高危漏洞公告说明

    近日，某集团客户发现多个服务器/应用存在WebSphere、Apache Dubbo、linux-cmdline、Apache Struts、Apache Shiro等多个高危漏洞，咨询到我司询问我司产品是否存在相关漏洞，现做如下说明：

    我司所售产品：IDNac、IDLog、IDRadius、IDWall、IDSensor等产品，均不涉及以上漏洞的应用，故我司产品不受该漏洞影响。

• WebSphere存在远程代码执行漏洞
  

【漏洞编号】CVE-2020-4450

                  注：WebSphere Application Server V7.0和V8.0官方已停止维护。

【漏洞描述】IBM官方发布通过修复了WebSphere Application Server（WAS）中的远程代码执行（CVE-2020-4450）漏洞，此漏洞由110P协议上的反序列化造成，未经身份认证的攻击者可以通过110P协议远程攻击WAS服务器，在目标服务端执行任意代码，获取系统权限，进而接管服务器。CVSS评分为9.8分，漏洞危害较高，影响面较大，请相关用户尽快采取措施进行防护。

【规避措施】及时安装最新补丁以完成漏洞修复，做好资产自查以及预防工作。

• Apache Dubbo存在远程代码执行漏洞

【漏洞编号】CVE-2020-11995

【影响范围】Apache Dubbo 2.5.x

                   Apache Dubbo 2.6.0-2.6.8

                   Apache Dubbo 2.7.0-2.7.7

【漏洞描述】Apache Dubbo默认反序列化协议Hessian2协议处理模块中被曝存在代码执行漏洞，该漏洞中Hessian2反序列化HashMap对象时，该类中的一些函数在经过一些列调用时可以进行代码执行。例如EquaIBean中的HashCode方法，通过构造一些特殊的请求，可以使其加载远程恶意类并执行远程代码。

【规避措施】及时更新Apache Dubbo版本以防御此漏洞。

• linux-cmdline存在安全漏洞

【漏洞编号】CVE-2020-7704

【影响范围】1.0.1之前版本

【漏洞描述】cmdline是在linux的config文件中一个特殊的宏定义，linux-cmdline 1.0.1之前版本中存在原型污染漏洞，漏洞编号为CVE-2020-7704。危害等级为超危，目前厂商已发布升级补丁以修复漏洞。

【规避措施】安装厂商已发布的升级补丁以修复漏洞。

• Apache Struts存在你远程代码执行漏洞
  

【漏洞编号】CVE-2019-0230

【影响范围】Apache Struts 2.0.0 - 2.5.20

【漏洞描述】Apache Struts于2020年8月13日披露S2-059 Struts远程代码执行漏洞（CVE-2019-0230），在使用某些tag等情况下可能存在OGNL表达式注入漏洞，从而造成远程代码执行，风险极大。安全专家提醒Apache Struts用户尽快升级到2.5.22或以上版本，避免遭遇黑客攻击。

【规避措施】及时进行升级以完成漏洞修复，做好资产自查以及预防工作。

• Apache Shiro存在权限绕过漏洞
  

【漏洞编号】CVE-2020-13933

【影响范围】低于1.6.0的版本（不包含）

【漏洞描述】蚂蚁非攻实验室发现针对之前Apache Shiro身份验证绕过漏洞CVE-2020-11989的修复补丁存在缺陷。在1.5.3及之前的版本，由于shiro在处理url时与spring仍然存在差异，依然存在身份校验绕过漏洞。2020年8月17日，Apache Shiro官方接收漏洞报告并发布1.6.0修复版本，CVE编号：CVE-2020-13933。

【规避措施】升级Apache Shiro至最新版本。