IBM 제품 보안 업데이트 권고

개요

IBM 제품에서 발생하는 취약점을 해결하는 업데이트를 발표하였습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트하시기 바랍니다.

대상 제품

CVE-2024-37532, CVE-2024-35154

• IBM WebSphere Application Server 버전: 9.0
• IBM WebSphere Application Server 버전: 8.5

CVE-2024-22354

• IBM WebSphere Application Server 버전: 9.0
• IBM WebSphere Application Server 버전: 8.5
• IBM WebSphere Application Server Liberty 버전: 17.0.0.3(포함) ~ 24.0.0.5(포함)

해결된 취약점

부적절한 서명 검증으로 인해 인증된 사용자의 신원 스푸핑이 발생할 수 있는 취약점(CVE-2024-37532)
관리 콘솔에 대한 액세스 권한을 부여받은 원격 인증 공격자가 임의의 코드를 실행하도록 허용할 수 있는 취약점(CVE-2024-35154)
XML 데이터를 처리할 때 XML External Entity Injection(XXE) 공격으로 민감한 정보를 노출하거나 메모리 리소스를 소모하거나 서버 측 요청 위조 공격을 수행할 수 있는 취약점(CVE-2024-22354)

취약점 패치

최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
 

CVE-2024-37532

• 참고사이트[2]의 “Remediation/Fixes” 바탕으로 업데이트

CVE-2024-35154

• 참고사이트[4]의 “Remediation/Fixes” 바탕으로 업데이트

   

CVE-2024-22354

• 참고사이트[] “Remediation/Fixes”를 참고하여 업데이트

참고 사이트

[1] CVE-2024-37532 Detail

https://nvd.nist.gov/vuln/detail/CVE-2024-37532

[2] Security Bulletin: IBM WebSphere Application Server is vulnerable to identity spoofing (CVE-2024-37532)

https://www.ibm.com/support/pages/node/7158031

[3] CVE-2024-35154

https://nvd.nist.gov/vuln/detail/CVE-2024-35154

[4] Security Bulletin: IBM WebSphere Application Server is vulnerable to remote code execution (CVE-2024-35154)

https://www.ibm.com/support/pages/node/7159825

[5] CVE-2024-22354 Detail

https://nvd.nist.gov/vuln/detail/CVE-2024-22354

[6] Security Bulletin: IBM WebSphere Application Server and IBM WebSphere Application Server Liberty are vulnerable to an XML External Entity (XXE) injection vulnerability (CVE-2024-22354)

https://www.ibm.com/support/pages/node/7148426