IBM发布了安全补丁，旨在解决影响这家科技巨头企业软件解决方案的高、中严重漏洞。

本周，这家科技巨头发布了一系列安全建议，针对影响IBM Java Runtime、IBM Planning Analytics Workspace、，以及IBM Kenexa LMS内部部署。

https://www.ibm.com/blogs/psirt/security-bulletin-multiple-cves-易损性-in-ibm-java-runtime-affect-ibm-integration-designer-used-in-ibm-business-automation-workflow-and-ibm-business-process-manager-2/“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>首先咨询涉及CVE-2020-14782和CVE-2020-27221，IBM的business Automation Workflow和business Process Manager软件套件中的IBM Runtime Environment Java 7和Java 8中存在两个安全缺陷，IBM Integration Designer使用这两个软件将数据和应用程序集成到现有业务流程中。

CVE-2020-14782是Java SE库组件中的一个缺陷这可能允许攻击者通过多个协议危害Java SE，但这需要一个沙盒环境来触发，因此被认为很难利用。

CVE-2020-27221更令人担忧，CVSS基本得分为9.8，这是一个严重的评级。此基于堆栈的缓冲区溢出漏洞与Eclipse OpenJ9有关，远程攻击者可利用此漏洞执行任意代码或导致应用程序崩溃。

https://www.ibm.com/blogs/psirt/security-bulletin-ibm-planning-analytics-workspace-is-affected-by-security-vulnerabilities-6/“target=”\u blank“rel=”noopenernoreferrer nofollow“data component=”externalLink“>第二条建议关注IBM Planning Analytics Workspace，它是Planning Analytics的一个组件，是公司的协作和管理规划软件。总共解决了五个影响软件的漏洞，包括节点.jsHTTP请求走私问题（CVE-2020-8201），CVE-2020-8251--a节点.js拒绝服务缺陷——以及节点.js缓冲区溢出漏洞CVE-2020-8252，攻击者可利用该漏洞执行任意代码。

另外两个漏洞，一个FasterXML Jackson Databind（CVE-2020-25649）和CVE-2020-4953中的XML外部实体（XXE）攻击可触发数据完整性缺陷，这是工作区中的一个问题，允许远程但经过身份验证的攻击者窃取HTTP响应中暴露的敏感数据。

IBM还发布了https://www.ibm.com/blogs/psirt/security-bulletin-ibm-kenexa-lms-on-premise-ibm-sdk-java-technology-edition-quarterly-cpu-oct-2020-includes-oracle-oct-2020-cpu/“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>安全建议描述影响IBM Kenexa的漏洞LMS-On-Premise，一个企业学习管理系统。总共修补了5个影响较小的漏洞，所有这些漏洞都与Java SE的使用有关，如果与其他攻击媒介结合，可能导致拒绝服务和潜在的数据盗窃等问题。

上周，IBM发布了针对IBM的安全公告https://www.ibm.com/support/pages/node/6416391“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>Spectrum Symphony7.3.1和IBMSpectrum Conductor2.5.0并升级到易受多种漏洞影响的第三方库。

以前和相关的报道https://www.zdnet.com/article/masslogger-trojan-reinvented-to-steal-outlook-chrome-credentials/“target=”\u blank“>Masslogger特洛伊木马重新发明以窃取Outlook，Chrome凭据https://www.zdnet.com/article/stored-xss-bug-in-apple-icloud-domain-disclosed-by-bug-bonty-hunter/“target=”\u blank“>bug赏金猎人披露的苹果iCloud域中存储的XSS bughref=“https://www.zdnet.com/article/chinese-hackers-cloned-attack-tools-归属-to-nsas-equation-group/“target=”\u blank“>中国黑客克隆了属于美国国家安全局方程组的攻击工具

---

有提示吗？通过WhatsApp |信号+447713 025 499或Keybase:charlie0安全联系

stored xss bug in applebug bounty hunter披露的iCloud域

中国黑客通过注册克隆了属于美国国家安全局方程组的攻击工具，您同意https://redventures.com/CMG-terms-of-use.html“target=”\u blank“rel=”noopener noreferrer nof