IBM 最近发布了一份安全公告,以解决 IBM Engineering Systems Design Rhapsody – Model Manager (RMM) 中的一个关键漏洞。该漏洞被识别为 CVE-2024-41779,CVSS 得分为 9.8,可允许远程攻击者绕过安全限制并在易受攻击的系统上执行任意代码。
该漏洞源于软件中的一个竞赛条件,可能允许攻击者通过发送特制请求来利用系统。
安全公告中写道:“通过发送特制请求,攻击者可以利用这个漏洞远程执行代码。”
虽然该漏洞非常严重,但由于 IDMappingsService.verbose 的 DEBUG 日志默认被禁用,因此不会影响正常运行条件下的 RMM 安装。IBM 对此进行了澄清: “默认情况下,RMM 的 IDMappingsService 未启用 DEBUG 级别日志记录,因此在 RMM 正常运行的情况下,不存在发生这种情况的风险。”
受影响的产品和版本:
- RMM 7.0.2
- RMM 7.0.3
补救措施:
IBM 敦促用户将其 RMM 软件更新到包含必要安全修复的最新版本。以下更新可用于解决该漏洞:
- RMM 7.0.2:下载并安装 iFix031 或更高版本。
- RMM 7.0.3: 下载并安装 iFix008 或更高版本。
解决方法:
作为临时解决办法,IBM 建议禁用 “IDMappingsService.verbose ”的 DEBUG 日志。
其他信息:
值得注意的是,启用 IDMappingsService 本身的 DEBUG 日志不受此漏洞影响。用户仍然可以安全地启用以下功能: <Logger name=“com.ibm.team.rmm.models.service.internal.IDMappingsService” level=“DEBUG”>