流行解析器提示中的缺陷来自众多下游供应商
IBM已更新了数据管理平台DB2,以保护用户免受第三方库Expat(Expat)的一对关键漏洞。
这两个缺陷均CVSS得分为9.8,每个缺陷都可能允许攻击者由于整数溢出问题而在脆弱系统上执行任意代码。
整数溢出位于Expat的XML_GetBuffer((CVE-2022-23852) 和Doprolog功能 (CVE-2022-23990)。
你也许也喜欢log4shell漏洞的热点AWS允许完整的主机接管
如果被利用,这些错误“可能导致敏感信息,数据的添加或修改或拒绝服务(DOS)”,根据有关的咨询来自NetApp,正在为自己的几种脆弱产品进行修复。
IBM DB2只是之一许多企业产品根据其维护者的说法,该捆绑包(又名Libexpat)是一个用于解析XML的C库,其历史可以追溯到1997年,并且“符合文件太大而无法适应RAM的文件,并且性能和灵活性至关重要”。
下游补丁
外籍人士的维护者修补了缺陷版本2.4.4,它于2022年1月30日下降。
这些错误影响DB2版本9.7.x,10.1.x,10.5.x和11.1.x.
IBM已建议客户运行脆弱的FixPack级别,以下载包含临时修复程序的相应特殊构建。“这些特殊构建可根据每个受影响版本的最新fixpack级别获得:v9.7 fp11,v10.1 fp6,v10.5 fp11和v11.1.4 fp6,”安全公告于4月20日发布。
外籍漏洞还提示了对Oracle Communications Metasolv解决方案和红帽企业Linux。
脉冲安全预定版本解决许多产品的问题,包括Pulse Desktop客户端,Pulse Connect Secure和Ivanti Connect Secure,并且仍在研究某些其他产品是否也很脆弱。
Linux发行有其他相关建议Ubuntu,思科与它的8000系列视频监视摄像机和戴尔EMC关于它的vxrail超融合基础架构(存储)设备。
