首頁 > 安全研究 > 安全通報 > 安全通告

Eclipse OpenJ9 安全漏洞安全通告

發布時間 2019-07-03

漏洞編號和級別


CVE編號:CVE-2018-12547,危險級別:嚴重,CVSS分值:9.8


影響版本


受影響的版本


IBM and Eclipse Foundation OpenJ9 0.11


漏洞概述


OpenJ9是IBM自1997年以來一直主推的高性能JVM產品,是IBM Java產品中的核心組件,幾乎所有IBM成熟產品都依賴于OpenJ9,因此僅IBM自主產品就有400+受到此漏洞影響,具體列表見鏈接:https://exchange.xforce.ibmcloud.com/vulnerabilities/157512。不僅IBM的全線產品依賴OpenJ9,因其在2017年已開源,無數追求性能的第三方流行軟件也都開始使用OpenJ9。


該漏洞屬于緩沖區溢出漏洞,出問題的是OpenJ9的基礎函數jio_snprintf()和jio_vsnprintf(),由于缺乏對參數長度的嚴格檢查,導致可以執行任意命令甚至獲得操作系統root權限。


漏洞驗證


暫無POC/EXP。


修復建議


IBM已推出補丁,建議用戶升級OpenJ9到最新版本。


參考鏈接


https://exchange.xforce.ibmcloud.com/vulnerabilities/157512 


上一篇 下一篇