經(jīng)過1年多漫長(zhǎng)等待期，由918搏天堂攻防實(shí)驗(yàn)室在2018年提交給IBM的OpenJ9漏洞終于完成修復(fù)，IBM已推出補(bǔ)丁。鑒于此漏洞（CVE-2018-12547）影響IBM產(chǎn)品多達(dá)400+，且攻擊復(fù)雜度低、危害大，CVE給出了高達(dá)9.8的漏洞危害評(píng)分！918搏天堂特此向廣大用戶告警，提醒OpenJ9用戶及時(shí)下載IBM官方最新補(bǔ)丁。

OpenJ9是IBM自1997年以來一直主推的高性能JVM產(chǎn)品，是IBMJava產(chǎn)品中的核心組件，幾乎所有IBM成熟產(chǎn)品都依賴于OpenJ9，因此僅IBM自主產(chǎn)品就有419款受到此漏洞影響，具體列表見下方鏈接：https://exchange.xforce.ibmcloud.com/vulnerabilities/157512

更可怕的是，不僅IBM的全線產(chǎn)品依賴OpenJ9，因其在2017年已開源，無數(shù)追求性能的第三方流行軟件也都開始使用OpenJ9。而現(xiàn)在，我們有理由相信該高危漏洞可影響的主流產(chǎn)品已超1000款。對(duì)于918搏天堂所提供的重要幫助，以及其在安全研究方面的不懈努力與積極貢獻(xiàn)，IBM也通過公告進(jìn)行了特別感謝。

一、漏洞概要

更多漏洞詳細(xì)信息請(qǐng)參閱IBM 2019年6月30日官方發(fā)布的公告信息：

https://www-01.ibm.com/support/docview.wss?uid=ibm10875132

二、漏洞影響 

該漏洞屬于緩沖區(qū)溢出漏洞，出問題的是OpenJ9的基礎(chǔ)函數(shù)jio_snprintf()和jio_vsnprintf()，由于缺乏對(duì)參數(shù)長(zhǎng)度的嚴(yán)格檢查，導(dǎo)致使用特定的POC可以執(zhí)行任意命令甚至獲得操作系統(tǒng)root權(quán)限。

三、防范措施 

建議用戶升級(jí)OpenJ9升級(jí)到最新版本。同時(shí)918搏天堂數(shù)據(jù)庫(kù)安全評(píng)估系統(tǒng)最新版本也可以檢測(cè)該漏洞。建議918搏天堂數(shù)據(jù)庫(kù)安全評(píng)估系統(tǒng)用戶升級(jí)到最新版本檢查并修復(fù)此漏洞。沒有購(gòu)買該系統(tǒng)的用戶請(qǐng)掃描下方二維碼，下載腳本進(jìn)行本地檢測(cè)。