【漏洞通告】WebSphere XML外部实体(XXE)注入漏洞(CVE-2021-20453/CVE-2021-20454)

  • A+
所属分类:安全漏洞

通告编号:NS-2021-0019

2021-04-22
TAG: WebSphere、XXE、CVE-2021-20453、CVE-2021-20454
洞危害:

攻击者利用此漏洞,可实现XML外部实体注入。

版本: 1.0
1

漏洞概述


近日,绿盟科技监测到IBM发布安全公告修复了两个WebSphere Application Server XML外部实体(XXE)注入漏洞(CVE-2021-20453/CVE-2021-20454),由于WAS在处理XML数据时容易受到XML外部实体注入(XXE)攻击。远程攻击者可利用漏洞获取敏感信息或消耗内存资源。请相关用户采取措施进行防护。


参考链接:

https://www.ibm.com/support/pages/node/6445171

https://www.ibm.com/support/pages/node/6445481

SEE MORE →


2影响范围

受影响版本

  • WebSphere Application Server 9.0.0.0 - 9.0.5.7

  • WebSphere Application Server 8.5.0.0 - 8.5.5.19

  • WebSphere Application Server 8.0.0.0 - 8.0.0.15

  • WebSphere Application Server 7.0.0.0 - 7.0.0.45

注:WebSphere Application Server V7.0 和 V8.0官方已停止维护。


不受影响版本

  • WebSphere Application Server >= 9.0.5.8(预计2021年第二季度发布)

  • WebSphere Application Server >= 8.5.5.20(预计2021年第三季度发布)


3漏洞检测

3.1  版本检测

相关用户可通过版本检测的方式判断当前应用是否存在风险。

方法一:登录WebSphere管理平台首页查看版本信息。

【漏洞通告】WebSphere XML外部实体(XXE)注入漏洞(CVE-2021-20453/CVE-2021-20454)

若当前使用版本在受影响范围内,则可能存在安全风险。

方法二:进入/opt/IBM/WebSphere/AppServer/bin目录下,执行./versionInfo.sh即可查看当前版本,查看Package日期,如果低于20210125则说明存在安全风险。

./versionInfo.sh

【漏洞通告】WebSphere XML外部实体(XXE)注入漏洞(CVE-2021-20453/CVE-2021-20454)


4漏洞防护

4.1  官方升级

目前官方已发布更新修复了该漏洞,对于已停止维护的版本也提供了安全补丁,请受影响的用户尽快安装进行防护。

1、相关用户可通过IBM Installation Manager进行升级,根据提示进行版本更新、补丁安装。

【漏洞通告】WebSphere XML外部实体(XXE)注入漏洞(CVE-2021-20453/CVE-2021-20454)

2、用户也可至官网手动下载补丁并安装。

CVE-2021-20453:

受影响版本

修复方法

补丁下载链接

9.0.0.0 - 9.0.5.7

根据临时修订要求升级到最低修订包级别,然后下载补丁PH34067

https://www.ibm.com/support/pages/node/6445141

8.5.0.0 - 8.5.5.19

根据临时修订要求升级到最低修订包级别,然后下载补丁PH34067

8.0.0.0 - 8.0.0.15

升级至8.0.0.15 版本,并安装补丁PH34067

CVE-2021-20454:

受影响版本

修复方法

补丁下载链接

9.0.0.0 - 9.0.5.7

根据临时修订要求升级到最低修订包级别,然后下载补丁PH34048

https://www.ibm.com/support/pages/node/6445441

8.5.0.0 - 8.5.5.19

根据临时修订要求升级到最低修订包级别,然后下载补丁PH34048

8.0.0.0 - 8.0.0.15

升级至8.0.0.15 版本,并安装补丁PH34048

7.0.0.0 - 7.0.0.45

升级至7.0.0.45版本,并安装补丁PH34048

注:安装补丁之前请先关闭WebSphere服务,安装完成后再将服务开启。



END

作者:绿盟科技威胁对抗能力部

【漏洞通告】WebSphere XML外部实体(XXE)注入漏洞(CVE-2021-20453/CVE-2021-20454)         
【漏洞通告】WebSphere XML外部实体(XXE)注入漏洞(CVE-2021-20453/CVE-2021-20454)        
声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。            

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。            

【漏洞通告】WebSphere XML外部实体(XXE)注入漏洞(CVE-2021-20453/CVE-2021-20454)

绿盟科技安全情报 微信公众号
【漏洞通告】WebSphere XML外部实体(XXE)注入漏洞(CVE-2021-20453/CVE-2021-20454)
【漏洞通告】WebSphere XML外部实体(XXE)注入漏洞(CVE-2021-20453/CVE-2021-20454)
长按识别二维码,关注网络安全威胁信息


本文始发于微信公众号(绿盟科技安全情报):【漏洞通告】WebSphere XML外部实体(XXE)注入漏洞(CVE-2021-20453/CVE-2021-20454)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: