개요
IBM 제품에서 발생하는 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트 하시기 바랍니다.
대상 제품
CVE-2024-52899
- IBM Data Virtualization Manager 버전: 1.1 (z/OS)
- IBM Data Virtualization Manager 버전: 1.2 (z/OS)
CVE-2024-49353
- IBM Watson Speech Services Cartridge for IBM Cloud Pak for Data 버전: 4.0.0(포함) ~ 5.0.2(포함)
해결된 취약점
인증된 사용자가 악성 JDBC URL 매개변수를 삽입하고 서버에서 코드를 실행할 수 있는 취약점(CVE-2024-52899)
리소스를 동시 사용 시 입력 검증이 제대로 이루어지지 않아 예기치 않은 상태나 충돌이 발생할 수 있는 취약점(CVE-2024-49353)
취약점 패치
최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2024-52899
- 참고사이트[2]의 “Remediation/Fixes” 바탕으로 업데이트
CVE-2024-49353
- IBM Watson Speech Services Cartridge for IBM Cloud Pak for Data 버전: 5.0.3
참고사이트
[1] CVE-2024-52899 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-52899
[2] Security Bulletin: IBM Data Virtualization Manager for z/OS has a remote code execution (RCE) vulnerability
https://www.ibm.com/support/pages/node/7177091
[3] CVE-2024-49353 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-49353
[4] Security Bulletin: IBM Watson Speech Services Cartridge for IBM Cloud Pak for Data is vulnerable to a possible race condition [CVE-2024-49353]