bencede
New member
IBM Business Workflow iş süreci yönetimi sistemi, birçok bileşeninde, bazıları kritik sonuçlara yol açan güvenlik açıklarından muzdariptir. Güncelleme her zaman işe yaramıyor ancak IBM'in her eksiklik için bir panzehiri var.
Duyuru
En tehlikeli güvenlik açığı, Güvenlik Bülteni'nin uzun listesinde yer alan ve sekiz yıldır bilinmesine rağmen IBM güvenlik yetkililerinin CVE kimliği atamadığı tek güvenlik açığıdır. 9,8 CVSS puanıyla arabellek taşması (tehlike düzeyi) eleştirmen) Apache POI'yi etkiler ve uzaktan kullanılabilir. IBM'in, 2016'dan beri bilinen güvenlik sorununu neden yalnızca şimdi İş Otomasyonu İş Akışı'nda ele aldığı açık değil.
Genel olarak liste, IBM'in kurumsal yazılım koleksiyonunda kış temizliği yapmış gibi görünüyor. Listede 2012'den 2022'ye kadar CVE kimlikleri var: CVSS puan aralığında 5 ile 7,5 arasında iyi kapatılmış boşluklar (tehlike seviyesi) orta Değin yüksek) çeşitli hizmet reddi sorunları, bilgi sızıntıları ve kod yürütme kusurlarından (CVE-2018-1000632, CVSS 7.3/10) muzdariptir ve bunların tümü hatalı giriş doğrulama ve XML belgelerinin işlenmesi nedeniyle meydana gelmiştir. Değiştirilmiş Office dosyaları aynı zamanda iş otomasyonu iş akışına entegre edilmiş Apache POI sunucusunu da bozarak çalışmasını engelleyebilir.
Sürümleri karşılaştırırken gözlerinizi dört açın
Etkilenen sürümlerin matrisi yöneticiyi ağlatıyor: İş Otomasyonu İş Akışı konteynerlerinden, geleneksel, Enterprise Service Bus'tan ve her biri iki ila sekiz etkilenen sürümden bahsediyoruz – muhtemelen IBM platformlarını bir hizmet sağlayıcı veya Big Blue aracılığıyla yönetenler için yapabilir kendisi.
Ayrıca, her sürüm için güncelleme yoktur, ancak bazı durumlarda düzeltmeler veya hatta IBM'den uzun vadeli aktif desteği olan bir sürüme geçme notu vardır.
Görünüşe göre İş Otomasyonu İş Akışındaki kod kaçakçılığı ve diğer güvenlik açıkları münferit bir durum değil: IBM, geçen yıl üründeki güvenlik hataları konusunda birkaç kez uyarıda bulundu.
(cku)
Haberin Sonu
Duyuru
En tehlikeli güvenlik açığı, Güvenlik Bülteni'nin uzun listesinde yer alan ve sekiz yıldır bilinmesine rağmen IBM güvenlik yetkililerinin CVE kimliği atamadığı tek güvenlik açığıdır. 9,8 CVSS puanıyla arabellek taşması (tehlike düzeyi) eleştirmen) Apache POI'yi etkiler ve uzaktan kullanılabilir. IBM'in, 2016'dan beri bilinen güvenlik sorununu neden yalnızca şimdi İş Otomasyonu İş Akışı'nda ele aldığı açık değil.
Genel olarak liste, IBM'in kurumsal yazılım koleksiyonunda kış temizliği yapmış gibi görünüyor. Listede 2012'den 2022'ye kadar CVE kimlikleri var: CVSS puan aralığında 5 ile 7,5 arasında iyi kapatılmış boşluklar (tehlike seviyesi) orta Değin yüksek) çeşitli hizmet reddi sorunları, bilgi sızıntıları ve kod yürütme kusurlarından (CVE-2018-1000632, CVSS 7.3/10) muzdariptir ve bunların tümü hatalı giriş doğrulama ve XML belgelerinin işlenmesi nedeniyle meydana gelmiştir. Değiştirilmiş Office dosyaları aynı zamanda iş otomasyonu iş akışına entegre edilmiş Apache POI sunucusunu da bozarak çalışmasını engelleyebilir.
Sürümleri karşılaştırırken gözlerinizi dört açın
Etkilenen sürümlerin matrisi yöneticiyi ağlatıyor: İş Otomasyonu İş Akışı konteynerlerinden, geleneksel, Enterprise Service Bus'tan ve her biri iki ila sekiz etkilenen sürümden bahsediyoruz – muhtemelen IBM platformlarını bir hizmet sağlayıcı veya Big Blue aracılığıyla yönetenler için yapabilir kendisi.
Ayrıca, her sürüm için güncelleme yoktur, ancak bazı durumlarda düzeltmeler veya hatta IBM'den uzun vadeli aktif desteği olan bir sürüme geçme notu vardır.
Görünüşe göre İş Otomasyonu İş Akışındaki kod kaçakçılığı ve diğer güvenlik açıkları münferit bir durum değil: IBM, geçen yıl üründeki güvenlik hataları konusunda birkaç kez uyarıda bulundu.
(cku)
Haberin Sonu