IBM发布了安全更新修复了IBM企业B2B平台软件中发现的执行任意代码漏

IBM Sterling B2B Integrator是美国IBM公司的一套集成了重要的B2B流程，交易和关系的软件该软件支持与不同的合作伙伴社区之间实现复杂的B2B流程的安全集成

日前，IBM发布了安全更新，修复了IBM企业B2B平台软件中发现的执行任意代码漏洞。以下是漏洞详情:

漏洞详情

CVE—2022—22965 CVSS评分:9.8 严重程度:重要

Spring Framework 可能允许远程攻击者在系统上执行任意代码，这是由于对与数据绑定一起使用的 PropertyDescriptor 对象的不当处理引起的通过向 Spring Java 应用程序发送特制数据，攻击者可以利用此漏洞在系统上执行任意代码注意:该漏洞利用需要 Spring Framework 在 Tomcat 上作为 WAR 部署运行，使用 JDK 9 或更高版本，使用 spring—webmvc 或 spring—webflux注意:此漏洞也称为 Spring4Shell 或 SpringShellIBM Sterling B2B Integrator 受到Spring Framework 中远程代码执行的影响

受影响产品和版本

IBM Sterling B2B Integrator 6.0.0.0 — 6.0.3.5， 6.1.0.0 — 6.1.0.4， 6.1.1.1版本

解决方案

IBM Sterling B2B Integrator 受到影响，但未被归类为易受 Spring Framework 中远程代码执行 的影响，因为它不满足以下所有标准:1. JDK 9 或更高版本，2. Apache Tomcat 作为Servlet 容器，3. 打包为 WAR，4. Spring—webmvc 或 spring—webflux 依赖项，5. Spring Framework 版本 5.3.0 到 5.3.17，5.2.0 到 5.2.19 ， 和旧版本出于谨慎考虑，IBM官方将在未来的版本中升级 Spring Framework

IBMWebSphereApplicationServerLiberty是美国IBM公司的一款应云时代而生的轻量级企业应用服务器，可用于构建，运行，集成，保护和管理部署的动态云和Web应用。它不仅能够确保高性能和灵活性，还提供多种开放标准编程模型选项，旨在最大程度提高开发人员的生产力。