多款产品爆出漏洞或严重影响银行等金融机构

　　IBM是全球最大的信息技术和业务解决方案公司，其全球能力包括服务、软件、硬件系统、研发及相关融资支持。IBM始终以超前的技术、出色的管理和独树一帜的产品领导着信息产业的发展，保证了世界范围内几乎所有行业用户对信息处理的全方位需求。
　　不过IBM于7月31日发布了安全公告，IBM旗下多款产品存在大量漏洞，或严重影响银行等金融机构。以下是漏洞详情：
　　一。金融事务管理器（FTMHVP）
　　IBMFinancialTransactionManagerforHighValuePaymentsforMultiPlatform（FTMHVP）是美国IBM公司的一款适用于多平台的金融事务管理器。该产品主要用于银行等金融机构来监控、跟踪和报告金融支付和交易。
　　漏洞详情
　　1。跨站脚本漏洞（CVE20204560）
　　IBMFinancialTransactionManager3。2。4容易受到跨站点脚本的攻击。此漏洞允许用户在WebUI中嵌入任意JavaScript代码，从而改变预期的功能，从而可能导致可信会话中的凭据泄露。
　　2。SQL注入漏洞（CVE20204328）
　　IBMFinancialTransactionManager3。2。4容易受到SQL注入的攻击。远程攻击者可以发送特制的SQL语句，这可能使攻击者可以查看，添加，修改或删除后端数据库中的信息。
　　漏洞修复
　　FTMHVP升级至：3。2。4。0FTMHVPMPiFix0001可修复上述两个漏洞
　　二。应用服务器WAS
　　IBMWebSphereAPPlicationServer（WAS）是美国IBM公司的一款应用服务器产品。该产品是JavaEE和Web服务应用程序的平台，也是IBMWebSphere软件平台的基础。IBMWAS中存在安全漏洞。
　　漏洞详情
　　远程攻击漏洞（CVE20204534）
　　IBMWAS可能允许本地经过身份验证的攻击者获得由于对UNC路径的不正确处理而导致的系统特权提升。通过使用特制的UNC路径调度任务，攻击者可以利用此漏洞执行具有更高特权的任意代码。
　　受到影响产品及版本：
　　IBMWAS9。0版本，8。5版本，8。0版本，7。0版本。
　　漏洞修复
　　对于传统的WebSphereApplicationServer和WebSphereApplicationServerHypervisorEdition：
　　对于V9。0。0。0到9。0。5。4：路
　　根据临时修订要求升级到最低修订包级别，然后应用临时修订PH26083
　　或应用修订包9。0。5。5或更高版本（目标可用性为3Q2020）。
　　对于V8。5。0。0到8。5。5。17：
　　根据临时修订要求升级到最低修订包级别，然后应用临时修订PH26083
　　或应用修订包8。5。5。18或更高版本（目标可用性3Q2020）。
　　对于V8。0。0。0到8。0。0。15：升级到8。0。0。15，然后应用临时修订PH26083
　　对于V7。0。0。0到7。0。0。45：升级到7。0。0。45，然后应用临时修订PH26083
　　三。i2AnalystsNotebook数据可视化分析工具
　　IBMi2AnalystsNotebook是美国IBM公司的一款数据可视化分析工具。该产品支持数据存储和数据分析等功能。
　　1。内存损坏漏洞（CVE20204549CVE20204550CVE20204551CVE20204552CVE20204553CVE20204554）
　　IBMi2Analyst的Notebook可能允许本地攻击者在系统上执行由内存损坏引起的任意代码。通过诱使受害者打开特制文件，攻击者可以利用此漏洞在系统上执行任意代码。
　　受影响产品及版本：
　　IBMi2Analyst的Notebook9。2。1
　　IBMi2Analyst的NotebookPremium9。2。1
　　漏洞修复
　　在线升级到最新程序包可修复此漏洞
　　四。CognosAnalytics商业智能软件
　　IBMCognosAnalytics是美国IBM公司的一套商业智能软件。该软件包括报表、仪表板和记分卡等，并可通过分析关键因素与关键人等内容，协助企业调整决策。
　　IBMCognosAnalytics中jQueryUI容易受到跨站点脚本的攻击，这是由用户提供的输入的不正确验证引起的。一旦单击URL，远程攻击者便可以使用特制URL中的title参数利用此漏洞在宿主Web站点的安全上下文中在受害者的Web浏览器中执行脚本。攻击者可能利用此漏洞窃取受害者基于Cookie的身份验证凭据。
　　漏洞详情
　　1。特权升级漏洞（CVE20194589）
　　IBMCognosAnalytics容易受到特权升级的影响，在该特权升级中，我的日程安排和订阅页面可见，并且特权较低的用户可以访问该页面。
　　2。信息泄露漏洞（CVE20194366）
　　IBMCognosAnalytics容易受到信息泄露漏洞的攻击，攻击者可能会利用该漏洞访问缓存的浏览器数据。
　　3。XML注入漏洞（CVE20204377）
　　IBMCognosAnaytics在处理XML数据时容易受到XML外部实体注入（XXE）攻击。远程攻击者可能利用此漏洞来泄露敏感信息或消耗内存资源。
　　受影响产品及版本：
　　IBMCognosAnalytics11。1
　　IBMCognosAnalytics11。0（11。0。13FP2之前的版本）
　　漏洞修复
　　对于IBMCognosAnalytics11。1。x：
　　推荐的解决方案是尽快对列出的版本应用此修复程序。
　　下载IBMCognosAnalytics11。1。7。0
　　对于IBMCognosAnalytics11。0。x：
　　IBMCognosAnalytics11。0。x仅易受CVE20167103的攻击，这仅适用于IBMCognosAnalytics11。0。13FP2之前的版本。
　　推荐的解决方案是应用IBMCognosAnalytics11。0。x的最新可用版本。
　　IBMCognosAnalytics11。0。13修订包3