Eclipse OpenJ9 安全漏洞安全通告

发布时间 2019-07-03

漏洞编号和级别


CVE编号:CVE-2018-12547,危险级别:严重,CVSS分值:9.8


影响版本


受影响的版本


IBM and Eclipse Foundation OpenJ9 0.11


漏洞概述


OpenJ9是IBM自1997年以来一直主推的高性能JVM产品,是IBM Java产品中的核心组件,几乎所有IBM成熟产品都依赖于OpenJ9,因此仅IBM自主产品就有400+受到此漏洞影响,具体列表见链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/157512。不仅IBM的全线产品依赖OpenJ9,因其在2017年已开源,无数追求性能的第三方流行App也都开始使用OpenJ9。


该漏洞属于缓冲区溢出漏洞,出问题的是OpenJ9的基础函数jio_snprintf()和jio_vsnprintf(),由于缺乏对参数长度的严格检查,导致可以实行任意命令甚至获得操作系统root权限。


漏洞验证


暂无POC/EXP。


修复建议


IBM已推出补丁,建议用户升级OpenJ9到最新版本。


参考链接


https://exchange.xforce.ibmcloud.com/vulnerabilities/157512