IBM WebSphere MQ 7.0.1.x / 7.1.0.x < 7.1.0.9 / 7.5.0.x < 7.5.0.8 / 8.0.0.x < 8.0.0.6 / 9.0.0.x < 9.0.0.1 多个漏洞

critical Nessus 插件 ID 96663

语言：

简介

远程主机上安装的消息队列服务受到多个漏洞影响。

描述

根据其自我报告的版本号，远程 Windows 主机上的 IBM WebSphere MQ 服务器版本为不含 APAR IT14385 修补程序的 7.0.1.x、低于 7.1.0.9 的 7.1.0.x、低于 7.5.0.8 的 7.5.0.x、低于 8.0.0.6 的 8.0.0.x，或低于 9.0.0.1 的 9.0.0.x。因而会受到多个漏洞的影响：- 由于在序列化 Java 对象时未正确清理输入，JMSObjectMessage 类的 Java 消息服务 (JMS) 中存在缺陷。经身份验证的远程攻击者可利用此问题执行任意代码。(CVE-2016-0360) - 由于未正确处理数据转换，而存在缺陷，允许经身份验证的远程攻击者使得 MQ 通道崩溃。(CVE-2016-3013) - 存在缺陷，在非标准配置下，会导致以明文通过网络发送密码数据。中间人攻击者可借此泄露密码。(CVE-2016-3052) - 存在不明缺陷，允许可访问队列管理器和队列且经身份验证的远程攻击者，对同一进程中的其他通道造成拒绝服务。(CVE-2016-8915) - 存在不明缺陷，允许未经身份验证的远程攻击者造成不明影像。无其他详细内容。(CVE-2016-8971) - 存在不明缺陷，允许可访问队列管理器和队列且经身份验证的远程攻击者，使用特制的 HTTP 请求，中断 MQ 通道，进而导致拒绝服务情况。(CVE-2016-8986) - 存在不明缺陷，允许有权创建群集对象且经身份验证的远程攻击者，在 MQ 群集中造成拒绝服务情况。(CVE-2016-9009)

解决方案

应用适当的修复数据包、APAR 修补程序或缓解措施：- 对于版本 7.0.1.x，应用 APAR IT14385 修补程序，并根据修补程序自述文件的说明应用序列化白名单。- 对于版本 7.1.0.x，如可用，则应用修复数据包 9 (7.1.0.9)。过渡期间，应用 APAR IT14385 修补程序，并根据修补程序自述文件的说明应用序列化白名单。- 对于版本 7.5.0.x，如可用，则应用修复数据包 8 (7.5.0.8)。过渡期间，应用 APAR IT14385 修补程序，并根据修补程序自述文件的说明应用序列化白名单。- 对于版本 8.0.0.x，如可用，则应用修复数据包 6 (8.0.0.6)。过渡期间，使用 JSON 或 XML，而非 ObjectMessage，并启用 MQ 的高级信息安全 (AMS) 机制。- 对于版本 9.0.0.x，如可用，则应用修复数据包 1 (9.0.0.1)。过渡期间，应用 APAR IT14385 修补程序，并根据修补程序自述文件的说明应用序列化白名单。