安華金和攻防實(shí)驗(yàn)室2018年提交給IBM的OpenJ9漏洞于近日完成修復(fù)，IBM推出補(bǔ)丁。由于這個(gè)漏洞（CVE－2018－12547）影響IBM產(chǎn)品多達(dá)400＋、攻擊復(fù)雜度低、危害大，CVE漏洞危害評(píng)分高達(dá)9．8。安華金和特此向廣大用戶(hù)告警，提醒OpenJ9用戶(hù)及時(shí)下載IBM官網(wǎng)最新公布的補(bǔ)丁。

OpenJ9是IBM自1997年以來(lái)一直主推的高性能JVM產(chǎn)品，是IBM Java產(chǎn)品中的核心組件。幾乎所有IBM成熟產(chǎn)品都依賴(lài)于OpenJ9，僅IBM自主產(chǎn)品就有419個(gè)產(chǎn)品受到此漏洞影響具體列表請(qǐng)見(jiàn)下面的鏈接。不僅IBM全線(xiàn)產(chǎn)品依賴(lài)OpenJ9，由于2017年OpenJ9開(kāi)源，無(wú)數(shù)追求性能的第三方流行軟件也都使用了OpenJ9。我們有理由相信該高危漏洞影響的主流產(chǎn)品不下千款。IBM特此對(duì)于安華金和在安全研究方面所做出的努力和貢獻(xiàn)進(jìn)行了特別的感謝。

漏洞概要

更多漏洞詳細(xì)信息請(qǐng)參閱IBM 2019年6月30日官方發(fā)布的公告信息

漏洞影響

該漏洞屬于緩沖區(qū)溢出漏洞，出問(wèn)題的是OpenJ9的基礎(chǔ)函數(shù)jio＿snprintf（）和 jio＿vsnprintf（），由于缺乏對(duì)參數(shù)長(zhǎng)度的嚴(yán)格檢查，導(dǎo)致使用特定的POC可以執(zhí)行任意命令甚至獲得操作系統(tǒng)root權(quán)限。

防范措施

建議用戶(hù)升級(jí)OpenJ9升級(jí)到最新版本。同時(shí)安華金和數(shù)據(jù)庫(kù)安全評(píng)估系統(tǒng)最新版本也可以檢測(cè)該漏洞。建議安華金和數(shù)據(jù)庫(kù)安全漏洞評(píng)估系統(tǒng)用戶(hù)升級(jí)到最新版本檢查并修復(fù)此漏洞。沒(méi)有購(gòu)買(mǎi)該系統(tǒng)的用戶(hù)也可以微信關(guān)注“安華金和服務(wù)平臺(tái)”回復(fù)關(guān)鍵詞“ibm”獲取腳本進(jìn)行本地檢測(cè)。