개요
IBM 제품군에서 발생하는 취약점을 해결하는 업데이트가 제공되었습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
CVE-2024-20918, CVE-2024-20952, CVE-2024-20921, CVE-2024-20945, CVE-2023-33850
- IBM WebSphere Application Server 8.5 버전
- IBM WebSphere Application Server 9.0 버전
- IBM WebSphere Application Server Liberty Continuous delivery
CVE-2023-33850
- IBM Tivoli Business Service Manager 6.2.0 버전
CVE-2023-51074, CVE-2024-20952, CVE-2024-20918, CVE-2024-20921, CVE-2024-20919, CVE-2024-20926, CVE-2024-20945, CVE-2023-33850, CVE-2023-4586, CVE-2023-5535, CVE-2022-41723, CVE-2022-41721, CVE-2022-32149, CVE-2023-39533, CVE-2023-36478
- IBM Cloud Transformation Advisor 2.0.1부터 3.8.1까지의 버전
CVE-2022-23471, CVE-2022-31030, CVE-2022-32149, CVE-2022-41721, CVE-2022-41723, CVE-2022-41724, CVE-2022-41725, CVE-2023-24532, CVE-2023-24534, CVE-2023-24536, CVE-2023-24537, CVE-2023-24538, CVE-2023-28840, CVE-2023-28841, CVE-2023-28842, CVE-2023-24539, CVE-2023-24540, CVE-2023-29400
- IBM Cloud Pak for Data Scheduling 4.6.4부터 4.7.4까지의 버전
해결된 취약점
IBM® Java SDK의 VM 구성 요소와 관련된 Java SE의 지정되지 않은 취약점 (CVE-2024-20918, CVE-2024-20952, CVE-2024-20921, CVE-2024-20945, CVE-2024-20919)
IBM GSKit-Crypto의 원격 공격자가 RSA 암호 해독 구현의 타이밍 기반 부채널로 인해 민감 정보 액세스 취약점 (CVE-2023-33850)
json-path Criteria.parse 메서드의 스택 기반 버퍼 오버플로로 인한 서비스 거부 취약점(CVE-2023-51074)
스크립팅 구성 요소와 관련된 Java SE의 지정되지 않은 취약점 (CVE-2024-20926)
Hot Rod 클라이언트의 TLS 사용 시 호스트 이름 확인 활성화 실패로 인해 발생하는 중간자 공격 취약점 (CVE-2023-4586)
Vim은 원격 인증 공격자가 시스템에서 임의의 코드를 실행하도록 허용할 수 있으며, 이로 인해 함수 editing_arg_idx에서 발생하는 힙 기반 use-after-free 취약점 (CVE-2023-5535)
Golang Go의 HPACK 디코더의 결함으로 인한 서비스 거부 취약점 (CVE-2022-41723)
Golang Go의 MaxBytesHandler를 사용할 때 발생하는 결함으로 인한 HTTP request smuggling 취약점 (CVE-2022-41721)
Golang Go의 golang.org/x/text/language 패키지의 부적절한 입력 유효성 검사로 인해 발생하는 서비스 거부 취약점 (CVE-2022-32149)
libp2p go-libp2p의 서명 확인 중 결함으로 인해 발생하는 서비스 거부 취약점 (CVE-2023-39533)
Eclipse Jetty MetaDataBuilder.checkSize의 정수 오버플로 및 버퍼 할당으로 인한 서비스 거부 취약점 (CVE-2023-36478)
containerd의 CRI 구현의 결함으로 인해 발생하는 서비스 거부 취약점 (CVE-2022-23471, CVE-2022-31030)
Golang Go의 대규모 TLS 핸드셰이크 레코드를 처리할 때 발생하는 결함으로 인한 서비스 거부 취약점 (CVE-2022-41724)
Golang Go의 mime/multipart를 사용하여 다중 파트 양식 구문 분석을 수행할 때 발생하는 결함으로 인한 서비스 거부 취약점 (CVE-2022-41725)
Golang Go의 P256 곡선의 ScalarMult 및 ScalarBaseMult 메서드에서 잘못된 결과를 반환하는 지정되지 않은 오류에 알 수 없는 영향 및 공격 벡터 취약점 (CVE-2023-24532)
Golang Go의 HTTP 및 MIME 헤더 구문 분석의 공통 함수에서 메모리 고갈로 인해 발생하는 서비스 거부 취약점 (CVE-2023-24534)
Golang Go의 멀티파트 양식 구문 분석 중 결함으로 인한 서비스 거부 취약점 (CVE-2023-24536)
Golang Go의 Parse 함수를 호출할 때 정수 오버플로로 인한 무한 루프로 인한 서비스 거부 취약점 (CVE-2023-24537)
Golang Go는 백틱(`)을 Javascript 문자열 구분 기호로 적절하게 고려하지 못해 발생하는 임의의 코드 실행 취약점 (CVE-2023-24538)
Moby의 암호화된 오버레이 네트워크 내의 보호되지 않은 대체 채널로 인해 발생하는 서비스 거부 취약점 (CVE-2023-28840)
Moby의 오버레이 네트워크 드라이버 내에서 암호화된 민감한 데이터가 누락되어 발생하는 민감 정보 액세스 취약점 (CVE-2023-28841)
Moby의 암호화된 오버레이 네트워크 내의 보호되지 않은 대체 채널로 인해 발생하는 보안 제한 우회 취약점 (CVE-2023-28842)
Go의 HTML 삽입 취약점 (CVE-2023-24539, CVE-2023-24540, CVE-2023-29400)
취약점 패치
2024년 2월 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2024-20918, CVE-2024-20952, CVE-2024-20921, CVE-2024-20945, CVE-2023-33850
- 참고 사이트 [1]의 “Remediation/Fixes” 섹션 참고
CVE-2023-33850
- 참고 사이트 [2]의 “Remediation/Fixes” 섹션 참고
CVE-2023-51074, CVE-2024-20952, CVE-2024-20918, CVE-2024-20921, CVE-2024-20919, CVE-2024-20926, CVE-2024-20945, CVE-2023-33850, CVE-2023-4586, CVE-2023-5535, CVE-2022-41723, CVE-2022-41721, CVE-2022-32149, CVE-2023-39533, CVE-2023-36478
- IBM Cloud Transformation Advisor 3.8.2 버전
CVE-2022-23471, CVE-2022-31030, CVE-2022-32149, CVE-2022-41721, CVE-2022-41723, CVE-2022-41724, CVE-2022-41725, CVE-2023-24532, CVE-2023-24534, CVE-2023-24536, CVE-2023-24537, CVE-2023-24538, CVE-2023-28840, CVE-2023-28841, CVE-2023-28842, CVE-2023-24539, CVE-2023-24540, CVE-2023-29400
- IBM Cloud Pak for Data Scheduling 4.8 버전
참고 사이트
[1] Security Bulletin: Multiple Vulnerabilities in IBM® Java SDK affect IBM WebSphere Application Server and IBM WebSphere Application Server Liberty due to January 2024 CPU
https://www.ibm.com/support/pages/node/7117872
[2] Security Bulletin: IBM SDK, Java Technology Edition Quarterly CPU – Jan 2024 – Includes Oracle January 2024 CPU plus CVE-2023-33850
https://www.ibm.com/support/pages/node/7121419
[3] Security Bulletin: IBM Cloud Transformation Advisor is vulnerable to multiple vulnerabilities
https://www.ibm.com/support/pages/node/7121102
[4] Security Bulletin: IBM Cloud Pak for Data Scheduling is vulnerable to multiple ansible-operator and opm vulnerabilities
https://www.ibm.com/support/pages/node/7121255
[5] Security Bulletin: IBM Cloud Pak for Data Scheduling is vulnerable to multiple ansible-operator vulnerabilities
https://www.ibm.com/support/pages/node/7121279