보안 권고문

IBM 제품군(IBM Maximo Application Suite 등) 보안 업데이트 권고

개요

 

IBM 제품군에서 발생하는 취약점을 해결하는 업데이트가 제공되었습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트하시기 바랍니다.

 

대상 제품

 

CVE-2023-43804, CVE-2023-25399, CVE-2023-29824, CVE-2023-29159, CVE-2023-27043, CVE-2023-44271, CVE-2023-29159

  • IBM Business Automation Workflow containers 23.0.2 버전
  • IBM Business Automation Workflow traditional 23.0.2 버전

 

CVE-2023-45133

  • IBM Maximo Application Suite 8.11 버전

 

해결된 취약점

 

IBM Business Automation Workflow Machine Learning Server에서 발생하는 urlib3의 중요 정보 액세스 취약점 (CVE-2023-43804)
IBM Business Automation Workflow Machine Learning Server에서 발생하는 SciPy의 Py_FindObjects 기능의 메모리 누수 결함으로 인한 서비스 거부 취약점 (CVE-2023-25399)
IBM Business Automation Workflow Machine Learning Server에서 발생하는 SciPy의 Py_FindObjects 기능의 use-after-free 버그로 인한 서비스 거부 취약점 (CVE-2023-29824)
IBM Business Automation Workflow Machine Learning Server에서 발생하는 Encode Starlette의 StaticFiles를 사용할 때, 사용자 요청의 부적절한 유효성 검사로 인한 시스템의 디렉터리 통과 취약점 (CVE-2023-29159)
IBM Business Automation Workflow Machine Learning Server에서 발생하는 Python을 사용 시, email.utils.parsaddr() 및 email.utils.getaddresses() 함수의 구문 분석 결함으로 인해 보안 제한 우회 취약점 (CVE-2023-27043)
IBM Business Automation Workflow Machine Learning Server에서 발생하는 Pillow의 제어할 수 없는 메모리 할당하는 결함으로 인한 서비스 거부 취약점 (CVE-2023-44271)
IBM Business Automation Workflow Machine Learning Server에서 발생하는 Starlette 디렉터리 순회 인코딩 취약점 (CVE-2023-29159)
IBM Maximo Application Suite에서 발생하는 Babel의 path.evaluate() 또는 path.evaluateTruthy() 결함으로 인한 코드 실행 취약점 (CVE-2023-45133)

 

취약점 패치

 

2024년 2월 19일 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.

CVE-2023-43804, CVE-2023-25399, CVE-2023-29824, CVE-2023-29159, CVE-2023-27043, CVE-2023-44271, CVE-2023-29159

  • IBM Business Automation Workflow containers 23.0.2-IF001 버전
  • IBM Business Automation Workflow traditional 임시 수정사항 참고 사이트 [2] 내용 참고

 

CVE-2023-45133

  • IBM Maximo Application Suite 8.11.5 버전

 

참고 사이트

 

[1] Security Bulletin: Multiple vulnerabilities in IBM Business Automation Workflow Machine Learning Server are addressed with 23.0.2-IF001
https://www.ibm.com/support/pages/node/7120748

[2] Readme for IBM Business Automation Workflow 23.0.2 Machine Learning Server interim fixes
https://www.ibm.com/support/pages/node/7109938

[3] Security Bulletin: IBM Maximo Application Suite uses traverse-7.20.13.tgz which is vulnerable to CVE-2023-45133
https://www.ibm.com/support/pages/node/712067
 

© AhnLab, Inc. All rights reserved.

(우) 13493 경기도 성남시 분당구 판교역로 220

대표이사 : 강석균

사업자등록번호 : 214-81-83536

개인정보처리방침

|

이용약관

|

ASEC