发布日期：2020-06-05
更新日期：2020-06-05

受影响系统：

IBM Websphere Application Server 9.0.x
IBM Websphere Application Server 8.5.x

描述：

---

CVE(CAN) ID: CVE-2020-4450

IBM WebSphere Application Server（WAS）是一款应用服务器产品。该产品是JavaEE和Web服务应用程序的平台，也是IBMWebSphere软件平台的基础。

WebSphere Application Server（WAS）9.0.x, 8.5.x版本，在IIOP协议的实现上存在反序列化漏洞，利用此漏洞，未经认证的攻击者可以通过IIOP协议远程攻击WAS服务器，在目标服务端执行任意代码，获取系统权限，进而接管服务器。由于无需其他条件，WAS默认开启了IIOP协议，攻击者无需认证即可远程攻击，漏洞危害较高，影响面较大。

<*来源：NSFOCUS Security Team
  *>

建议：

---

厂商补丁：

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

-    WebSphere Application Server 9.0.x：更新安全补丁PH25074
-    WebSphere Application Server 8.5.x：更新安全补丁PH25074

用户可以通过IBM Installation Manager 进行下载和安装补丁

或前往官方地址手动下载补丁并安装，地址https://www.ibm.com/support/pages/node/6220276

浏览次数：1177
严重程度：0（网友投票）