IBM Business Automation Workflow 18.0.0.0/18.0.0.1/18.0.0.2 Request Memory Exhaustion 拒绝服务漏洞

CVE编号

CVE-2018-1997

利用情况

暂无

补丁情况

N/A

披露时间

2019-04-09

漏洞描述

IBM Business Automation Workflow和Business Process Manager 18.0.0.0,18.0.0.1和18.0.0.2易受拒绝服务攻击。经过身份验证的攻击者可能会发送一个耗尽服务器端内存的特制请求。 IBM X-Force ID：154774。<br>

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://www-01.ibm.com/support/docview.wss?uid=ibm10794831

参考链接
https://exchange.xforce.ibmcloud.com/vulnerabilities/154774
https://www.ibm.com/support/docview.wss?uid=ibm10794831

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	ibm	business_automation_workflow	18.0.0.0	-
	运行在以下环境
	应用	ibm	business_automation_workflow	18.0.0.1	-
	运行在以下环境
	应用	ibm	business_automation_workflow	18.0.0.2	-
	运行在以下环境
	应用	ibm	business_process_manager	8.5.5.0	-
	运行在以下环境
	应用	ibm	business_process_manager	8.5.6.0	-
	运行在以下环境
	应用	ibm	business_process_manager	8.5.7.0	-
	运行在以下环境
	应用	ibm	business_process_manager	8.6.0.0	-
	运行在以下环境
	系统	alpine_3.10	yara	*		Up to (excluding) 4.8.4-r0
	运行在以下环境
	系统	alpine_3.11	yara	*		Up to (excluding) 4.8.4-r0
	运行在以下环境
	系统	alpine_3.12	yara	*		Up to (excluding) 4.8.4-r0
	运行在以下环境
	系统	alpine_3.13	yara	*		Up to (excluding) 4.8.4-r0
	运行在以下环境
	系统	alpine_3.8	yara	*		Up to (excluding) 4.8.4-r0
	运行在以下环境
	系统	alpine_3.9	yara	*		Up to (excluding) 4.8.4-r0
	运行在以下环境
	系统	alpine_edge	yara	*		Up to (excluding) 4.8.4-r0
	运行在以下环境
	系统	debian_8	yara	*		Up to (excluding) 4:4.2.12-2+deb8u2
	运行在以下环境
	系统	debian_9	yara	*		Up to (excluding) 4:4.6.6-4+deb9u1
	运行在以下环境
	系统	fedora_30	yara	*		Up to (excluding) 3.10.0-2.fc30
	运行在以下环境
	系统	fedora_EPEL_6	yara	*		Up to (excluding) 3.11.0-1.el6
	运行在以下环境
	系统	fedora_EPEL_7	yara	*		Up to (excluding) 3.10.0-3.el7
	运行在以下环境
	系统	opensuse_Leap_15.0	yara	*		Up to (excluding) 4.8.4-lp150.2.12.1
	运行在以下环境
	系统	opensuse_Leap_42.3	yara	*		Up to (excluding) 4.8.4-24.1
查看完整数据

CVSS3评分 6.5

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 低
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 无
• 完整性 无

CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H CWE-ID 漏洞类型 NVD-CWE-noinfo