阿里云漏洞库

漏洞描述

IBM App Connect、Integration Bus和WebSphere Message Broker都是美国IBM公司的产品。IBM App Connect是一套用于连接应用程序和数据的集成工具。Integration Bus（前称IBM WebSphere Message Broker）是一款企业服务总线（ESB）产品。该产品为面向服务架构（SOA）环境和非SOA环境提供连通性和通用数据转换。XLXP-C是其中的一个解析器组件。

IBM App Connect、Integration Bus和WebSphere Message Broker中存在XLXP-C组件存在安全漏洞。攻击者可利用该漏洞消耗内存资源。以下产品和版本受到影响：IBM App Connect 11.0.0.0版本至11.0.0.1版本；IBM Integration Bus 10.0.0.0版本至10.0.0.13版本，9.0.0.0版本至9.0.0.10版本；WebSphere Message Broker 8.0.0.版本至8.0.0.9版本。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：
https://www-01.ibm.com/support/docview.wss?uid=ibm10795780

参考链接
http://www.ibm.com/support/docview.wss?uid=ibm10795780
https://exchange.xforce.ibmcloud.com/vulnerabilities/149639

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	ibm	app_connect	*	From (including) 11.0.0.0	Up to (including) 11.0.0.1
	运行在以下环境
	应用	ibm	integration_bus	*	From (including) 10.0.0.0	Up to (including) 10.0.0.13
	运行在以下环境
	应用	ibm	integration_bus	*	From (including) 9.0.0.0	Up to (including) 9.0.0.10
	运行在以下环境
	应用	ibm	websphere_message_broker	*	From (including) 8.0.0.0	Up to (including) 8.0.0.9
	运行在以下环境
	系统	centos_7	emacs	*		Up to (excluding) 0.92.2-3.el7
	运行在以下环境
	系统	opensuse_Leap_15.0	ImageMagick	*		Up to (excluding) 7.0.7.34-lp150.2.21.1
	运行在以下环境
	系统	opensuse_Leap_42.3	ImageMagick	*		Up to (excluding) 1-6.8.8.1-73.1
	运行在以下环境
	系统	redhat_7	emacs	*		Up to (excluding) 0.92.2-3.el7
	运行在以下环境
	系统	suse_11_SP4	libMagickCore1	*		Up to (excluding) 6.4.3.6-78.74.1
	运行在以下环境
	系统	suse_12_SP3	ImageMagick	*		Up to (excluding) 6.8.8.1-71.82.1

攻击路径

网络
攻击复杂度

低
权限要求

无
影响范围

未更改
用户交互

无
可用性

低
保密性

无
完整性

无

CWE-ID	漏洞类型
CWE-611	XML外部实体引用的不恰当限制（XXE）

integration_bus 漏洞

漏洞描述

解决建议

参考链接

受影响软件情况