IBM Cloud Automation Manager是IBM公司的一套多云自助服务管理平台。该平台支持在多个云中部署云基础架构。
5月13日,IBM发布了安全更新,修复了多云自助服务管理平台IBM Cloud Automation Manager中发现的拒绝服务攻击漏洞。以下是漏洞详情:
漏洞详情
来源: https://www.ibm.com/support/pages/node/6453063
1.CVE-2021-23840 CVSS评分:7.5 严重程度:高
由于CipherUpdate中的整数溢出,OpenSSL容易受到拒绝服务的攻击。通过发送一个过长的参数,攻击者可以利用此漏洞导致应用程序崩溃。
2.CVE-2021-22883 CVSS评分:7.5 严重程度:高
由于文件描述符泄漏,Node.js容易受到拒绝服务的攻击。通过多次尝试连接未知协议,攻击者可以利用此漏洞导致过多的内存使用,并导致系统内存不足。
3.CVE-2021-22884 CVSS评分:6.5 严重程度:中等
当白名单包含" localhost6"时,由于错误而导致Node.js容易受到拒绝服务的攻击。通过控制受害者的DNS服务器或欺骗其响应,攻击者可以利用" localhost6"来利用此漏洞绕过DNS重新绑定保护机制。域并导致拒绝服务。
受影响的产品和版本
IBM Cloud Automation Manager 4.2.0.1
解决方案
从https://www.ibm.com/support/fixcentral/swg/selectFixes?product=ibm/WebSphere/IBM+Cloud+Private&release=All&platform=All&function=fixId&fixids=icp-cam下载IBM Cloud Automation Manager 4.2.0.1 iFix 3-3.2.1-build600412&includeSupersedes = 0
遵循https://www.ibm.com/support/fixcentral/swg/selectFixes?product=ibm/WebSphere/IBM+Cloud+Private&release=All&platform=All&function=fixId&fixids=icp-cam-3.2.1的自述链接中的指示。-build600412&includeSupersedes = 0将iFix 3安装到IBM Cloud Automation Manager 4.2.0.1。
查看更多漏洞信息 以及升级请访问官网:
https://www.ibm.com/blogs/psirt/