云安全日报211214：IBM网管解决方案发现执行任意代码漏洞,需要尽快

IBM Tivoli Netcool System Service Monitors/Application Service Monitors是IBM推出的网管解决方案。

日前，IBM发布了安全更新，修复了IBM网管解决方案中发现的执行任意代码漏洞。哈啰校园负责人游明亮介绍称，哈啰非常重视校园场景下的两轮业务，它具有场景需求明确，频次需求高，用户平均素质高等特点，是需要重点满足需求的场景。“哈啰校园的智慧充电方案不仅采用了集中式与分布式相结合的部署方式，同时在设备选型上还充分发挥了充电柜与充电桩各自的产品优势。”。以下是漏洞详情:

漏洞详情

1.CVE—2021—3711 CVSS评分:9.8 严重程度:严重

OpenSSL 容易受到缓冲区溢出的影响，这是由于 SM2 解密实现中的 EVP_PKEY_decrypt 函数的边界检查不当造成的通过发送特制的 SM2 内容，远程攻击者可以溢出缓冲区并在系统上执行任意代码或导致应用程序崩溃

2.CVE—2021—3712 CVSS评分:6.5 严重程度:中等

OpenSSL 可能允许远程攻击者获取敏感信息，这是在处理 ASN.1 字符串时越界读取造成的通过发送特制数据，攻击者可以利用该漏洞读取系统内存内容或进行拒绝服务攻击

受影响的产品和版本

IBM Tivoli Netcool System Service Monitors/Application Service Monitors 4.0.1

解决方案

应用IBM Tivoli Netcool System Service Monitors/Application Service Monitors 4.0.1 SP08升级补丁可修复

郑重声明：此文内容为本网站转载企业宣传资讯，目的在于传播更多信息，与本站立场无关。仅供读者参考，并请自行核实相关内容。