Eclipse OpenJ9 安全漏洞安全通告
发布时间 2019-07-03漏洞编号和级别
CVE编号:CVE-2018-12547,危险级别:严重,CVSS分值:9.8
影响版本
受影响的版本
IBM and Eclipse Foundation OpenJ9 0.11
漏洞概述
OpenJ9是IBM自1997年以来一直主推的高性能JVM产品,是IBM Java产品中的核心组件,几乎所有IBM成熟产品都依赖于OpenJ9,因此仅IBM自主产品就有400+受到此漏洞影响,具体列表见链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/157512。不仅IBM的全线产品依赖OpenJ9,因其在2017年已开源,无数追求性能的第三方流行软件也都开始使用OpenJ9。
该漏洞属于缓冲区溢出漏洞,出问题的是OpenJ9的基础函数jio_snprintf()和jio_vsnprintf(),由于缺乏对参数长度的严格检查,导致可以执行任意命令甚至获得操作系统root权限。
漏洞验证
暂无POC/EXP。
修复建议
IBM已推出补丁,建议用户升级OpenJ9到最新版本。
参考链接
京公网安备11010802024551号