IBM安全信息和事件管理产品QRadar曝远程命令执行漏洞_北京申博太阳城娱乐股份有限公司

> 太阳城娱乐网址 > 关于优炫 > 公司动态 > 业界新闻 >

业界新闻

Industry News

IBM安全信息和事件管理产品QRadar曝远程命令执行漏洞

2018-06-04
独立研究员佩德罗·里贝罗在IBM的QRadar产品中发现了三个影响其安全性的漏洞,其中一个漏洞CVE-2018-1418允许远程和未经身份验证的攻击者绕过身份验证并使用 root 权限执行任意命令。该漏洞CVSS评分为5.6分,但美国 NIST 的国家漏洞数据库(NVD)则建议评为9.8分。

IBM QRadar 是一款企业安全信息和事件管理(SIEM)产品,该产品用于帮助安全分析师识别其网络中的复杂威胁并改善事件修补措施。

受影响版本
佩德罗·里贝罗通过漏洞评估与管理公司 Beyond Security的SSD(SecuriTeam Secure Disclosure,SecuriTeam安全披露)计划向 IBM 公司报告此事。

IBM 表示,安全漏洞影响了 :
QRadar SIEM 7.3.0 ~ 7.3.1 Patch 2版本;
QRadar SIEM 7.2.0 ~ 7.2.8 Patch 11版本;
QRadar SIEM 7.3.1 Patch 3版本;
7.2.8 Patch 12版本。

根据 Beyond Security 公司的说法,QRadar 有一个用于对文件进行取证分析的内置应用程序。虽然在社区版(Community Edition)中禁用了该程序,但其代码仍然存在,且部分代码仍有效。该应用程序有两个组件:Java Servlet 和使用 PHP 的主要组件。
漏洞 CVE-2018-1418对第一个组件 Java Servlet 有严重影响;PHP 组件则存在一个可用于下载和执行 shell 的缺陷,需要身份验证,但这可以通过利用影响第一个组件的漏洞来实现。
综合利用这些漏洞可让远程攻击者在系统上执行任意命令,但只能使用低权限(即“nobody”用户)。
佩德罗·里贝罗发现的第三个漏洞可将权限从“nobody”升级到“root”权限。

漏洞评估与管理公司 Beyond Security 已为这些安全漏洞提供了技术细节和概念验证(PoC)代码。
内容来源:easyaq
https://www.easyaq.com/news/1490253788.shtml

优炫操作系统安全增强系统(简称RS-CDPS)通过安装在服务器的安全内核保护服务器数据,通过截取系统调用实现对文件系统的访问控制,以加强操作系统安全性。它具有完整的用户认证,访问控制及审计功能,不用更改操作系统就可以安装,提供信息系统主动防护功能,操作方便、易于系统管理和安全管理。可对UNIX类、LINUX类、WINDOWS类各种操作系统进行统一管理,为管理人员提供方便,可以保障客户的服务器安全、持续、长效运行。