【漏洞详情】

WebSphere Application Server（WAS）是企业级Web中间件，近日，IBM官方发布通告修复了WAS中的远程代码执行漏洞（CVE-2020-4450），此漏洞由IIOP协议上的反序列化导致，未经身份认证的攻击者可通过IIOP协议远程攻击WAS服务器，在目标服务端执行任意代码。

【风险评级】

高危

【影响范围】

l  WebSphere Application Server 9.0.0.0 - 9.0.5.4

l  WebSphere Application Server 8.5.0.0 - 8.5.5.17

l  WebSphere Application Server 8.0.0.0 - 8.0.0.15（官方已停止维护）

l  WebSphere Application Server 7.0.0.0 - 7.0.0.45（官方已停止维护）

【修复建议】

IBM官方已发布漏洞修复更新，建议受影响的用户结合实际业务评估漏洞风险影响，及时升级安全补丁：

1）自动升级，登陆IBM Installation Manager，根据提示进行版本更新、补丁安装；

2）手动更新，登陆官网下载并安装补丁，下载地址：https://www.ibm.com/support/pages/node/6220276

WebSphere Application Server 9.0.0.0 - 9.0.5.4：安装补丁PH25074

WebSphere Application Server 8.5.0.0 - 8.5.5.17：安装补丁PH25074

WebSphere Application Server 8.0.0.0 - 8.0.0.15：升级至8.0.0.15 版本，并安装补丁PH25074

WebSphere Application Server 7.0.0.0 - 7.0.0.45：升级至7.0.0.45 版本，并安装补丁PH25074

【参考链接】

https://www.ibm.com/support/pages/node/6220276

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2020年7月29日