IBM MQ(IBM WebSphere MQ)是美国IBM公司的一款消息传递中间件产品。该产品主要为面向服务的体系结构(SOA)提供可靠的、经过验证的消息传递主干网。

11月22日,IBM发布了安全更新,修复了IBM MQ中发现的几个重要漏洞。以下是漏洞详情:

漏洞详情

来源: https://www.ibm.com/support/pages/node/6517670

1.CVE-2021-2388 CVSS评分:7.5 严重程度:重要

一个Java SE 中与VM组件相关的未指明漏洞可能允许未经身份验证的攻击者控制系统。成功攻击此漏洞可导致Java SE、Oracle GraalVM企业版的系统账户接管。

2.CVE-2021-2432 CVSS评分:3.7 严重程度:中等

Java SE 中与 JNDI 组件相关的一个未指明的漏洞可能允许未经身份验证的攻击者使用未知攻击媒介造成拒绝服务,从而导致低可用性影响。

受影响的产品和版本

IBM MQ 8.0

IBM MQ 9.0 LTS

IBM MQ 9.1 LTS

IBM MQ 9.2 LTS

IBM MQ 9.1 CD

IBM MQ 9.2 CD

IBM WebSphere MQ 7.5

解决方案

IBM WebSphere IBM MQ 8.0:

应用 JRE 更新临时修订 APAR IT38524

IBM MQ 版本 9.0 LTS:

应用 FixPack 9.0.0.12

IBM MQ 版本 9.1 LTS:

应用 FixPack 9.1.0.9

IBM MQ 版本 9.2 LTS:

应用 FixPack 9.2.0.4

IBM MQ 9.1 CD 和 9.2 CD:

升级到 IBM MQ 9.2.4

查看更多漏洞信息 以及升级请访问官网:

https://www.ibm.com/blogs/psirt/