关键漏洞信息 漏洞概述 公告: 该安全公告解决了IBM Cloud Pak for Business Automation 24.0.0-PF005和24.0.1-PF002中多个安全漏洞。 CVE编号: CVE-2024-4332, CVE-2024-9342, CVE-2023-5470, CVE-2024-5561, CVE-2023-5778, CVE-2023-5838, CVE-2022-4218, CVE-2023-5715, CVE-2024-5114, CVE-2024-5044, CVE-2024-5233, CVE-2024-5227, CVE-2024-5002, CVE-2024-5120, CVE-2024-5057。 漏洞详情 CVE-2024-4332: - 描述: 在runc中,攻击者可以利用容器逃逸漏洞通过共享卷在两个容器之间创建硬链接或符号链接到任意目录中的文件。这可能导致容器逃逸。 - CVSS评分: 基础评分为3.6,向量为(CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N)。 CVE-2024-9342: - 描述: 在Eclipse IDE中,某些函数不检查其返回值的NULL内存指针或内存分配失败。这导致空指针解引用崩溃。 - CVSS评分: 基础评分为4.5,向量为(CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)。 CVE-2023-5470: - 描述: 在OpenJDK中,如果输入格式字符串和参数大于缓冲区大小,则存在缓冲区溢出漏洞。 - CVSS评分: 基础评分为7.8,向量为(CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/M:H)。 CVE-2024-5561: - 描述: 在Apache Kafka中,版本7.0.5之前存在正则表达式拒绝服务漏洞。攻击者可以通过发送一个大而复杂的正则表达式来消耗CPU资源。 - CVSS评分: 基础评分为4.3,向量为(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)。 CVE-2023-5778: - 描述: Babel编译器在处理某些JavaScript代码时生成不正确的输出,可能导致授权用户绕过服务器端安全性检查。 - CVSS评分: 基础评分为6.5,向量为(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N)。 CVE-2023-5838: - 描述: IBM Business Automation Workflow允许授权用户绕过服务器端安全性检查,从而导致服务中断。 - CVSS评分: 基础评分为6.5,向量为(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N)。 CVE-2022-4218: - 描述: Eclipse IDE允许本地认证的攻击者访问敏感信息,如密码和凭据。 - CVSS评分: 基础评分为5.5,向量为(CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)。 CVE-2023-5715: - 描述: Apache Kafka客户端使用主机名信任浏览器和node.js,可能导致跨站请求伪造(CSRF)攻击。 - CVSS评分: 基础评分为6.0,向量为(CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N)。 CVE-2024-5114: - 描述: 文件或目录可访问外部实体,可能允许攻击者配置应用程序以自定义行为,并包含ConfProvider插件以操纵这些配置。 - CVSS评分: 基础评分为9.0,向量为(CVSS:3.1/AV:N/PR:N/UI:R/S:U/C:H/I:H/A:H)。 CVE-2024-5044: - 描述: Java SE组件中的反序列化漏洞可能导致远程执行代码(RECE)攻击。 - CVSS评分: 基础评分为4.8,向量为(CVSS:3.1/AV:N/PR:N/UI:R/S:U/C:L/I:L/A:N)。 CVE-2024-5233: - 描述: Java SE组件中的反序列化漏洞可能导致远程执行代码(RECE)攻击。 - CVSS评分: 基础评分为3.7,向量为(CVSS:3.1/AV:N/PR:N/UI:R/S:U/C:N/I:L/A:N)。 CVE-2024-5227: - 描述: Java SE组件中的反序列化漏洞可能导致远程执行代码(RECE)攻击。 - CVSS评分: 基础评分为3.7,向量为(CVSS:3.1/AV:N/PR:N/UI:R/S:U/C:N/I:L/A:N)。 CVE-2024-5002: - 描述: Java SE组件中的反序列化漏洞可能导致远程执行代码(RECE)攻击。 - CVSS评分: 基础评分为5.3,向量为(CVSS:3.1/AV:N/PR:N/UI:R/S:U/C:N/I:L/A:N)。 影响的产品和版本 受影响产品: IBM Cloud Pak for Business Automation 受影响版本: V24.0.1 - V24.0.1-PF001, V24.0.0 - V24.0.0-PF005, 更早的不受支持版本 修复措施 补丁: 应用安全更新至V24.0.1-PF002或V24.0.0-PF006。