Eclipse OpenJ9 清静误差清静通告

宣布时间 2019-07-03

误差编号和级别


CVE编号:CVE-2018-12547,,,,,,,危险级别:严重,,,,,,,CVSS分值:9.8


影响版本


受影响的版本


IBM and Eclipse Foundation OpenJ9 0.11


误差概述


OpenJ9是IBM自1997年以来一直主推的高性能JVM产品,,,,,,,是IBM Java产品中的焦点组件,,,,,,,险些所有IBM成熟产品都依赖于OpenJ9,,,,,,,因此仅IBM自主产品就有400+受到此误差影响,,,,,,,详细列表见链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/157512。。。不但IBM的全线产品依赖OpenJ9,,,,,,,因其在2017年已开源,,,,,,,无数追求性能的第三方盛行软件也都最先使用OpenJ9。。。


该误差属于缓冲区溢出误差,,,,,,,出问题的是OpenJ9的基础函数jio_snprintf()和jio_vsnprintf(),,,,,,,由于缺乏对参数长度的严酷检查,,,,,,,导致可以执行恣意下令甚至获得操作系统root权限。。。


误差验证


暂无POC/EXP。。。


修复建议


IBM已推出补丁,,,,,,,建议用户升级OpenJ9到最新版本。。。


参考链接


https://exchange.xforce.ibmcloud.com/vulnerabilities/157512