IBM PowerSC是IBM公司的一套旨在保护私有云的安全性与合规性解决方案。该方案已经针对运行 AIX® 或 Linux 的 Power Systems™ 服务器上的虚拟化环境而优化。
11月1日,IBM发布了安全更新,修复了IBM PowerSC中发现的多个重要漏洞。以下是漏洞详情:
漏洞详情
来源: https://www.ibm.com/blogs/psirt/security-bulletin-multiple-vulnerabilities-in-curl-affect-powersc/
1.CVE-2021-22901 CVSS评分:8.8 严重程度:重要
cURL libcurl 可能允许远程攻击者在系统上执行任意代码,这是由在协商新的 TLS 会话或在现有连接上请求客户端证书时的漏洞造成的。通过说服受害者访问特制网站,攻击者可以利用此漏洞在系统上执行任意代码。
2.CVE-2021-22922 CVSS评分:7.8 严重程度:重要
cURL libcurl 可能允许远程攻击者绕过安全限制,这是由于没有通过 metalink 功能删除不正确的内容。通过说服受害者下载特制内容,攻击者可以利用此漏洞访问恶意内容,将其保存在磁盘文件中以供进一步攻击。
3.CVE-2021-22898 CVSS评分:7.5 严重程度:重要
cURL libcurl 可能允许远程攻击者获取敏感信息,这是由发送NEW_ENV变量的选项解析器中的漏洞引起的。通过使用明文网络协议发送特制的请求,攻击者可以利用该漏洞获取敏感的内部信息到服务器,并利用这些信息对受影响的系统发起进一步的攻击。
4.CVE-2021-22945 CVSS评分:7.5 严重程度:重要
cURL libcurl容易受到拒绝服务的影响,这是由向MQTT服务器发送数据时的释放后使用和双重释放漏洞引起的。通过发送特制数据,远程攻击者可以利用此漏洞造成拒绝服务条件。
5.CVE-2021-22946 CVSS评分:7.5 严重程度:重要
cURL libcurl可能允许远程攻击者获取敏感信息,这是由所需的TLS绕过问题引起的。通过嗅探网络,攻击者可以利用此漏洞通过网络以明文形式获取敏感数据,并利用此信息对受影响的系统发起进一步攻击。
6.CVE-2021-22947 CVSS评分:7.4 严重程度:重要
cURL libcurl 容易受到中间人攻击,这是由连接到 IMAP、POP3、SMTP 或 FTP 服务器以使用 STARTTLS 安全地交换数据以将连接升级到 TLS 级别时存在的漏洞造成的。攻击者可以利用该漏洞发起中间人攻击,获取端点之间的通信通道,获取敏感信息或进一步危害系统。
受影响的产品和版本
IBM PowerSC 1.3, 2.0版本
解决方案
修复程序可以通过 ftp 或 http 下载:
ftp://aix.software.ibm.com/aix/efixes/powersc/security/curl_fix7.tar
http://aix.software.ibm.com/aix/efixes/powersc/security/curl_fix7.tar
https://aix.software.ibm.com/aix/efixes/powersc/security/curl_fix7.tar
上面的链接指向一个 tar 文件,其中包含此已签名的建议、开源修复包以及每个包的 OpenSSL 签名。
查看更多漏洞信息 以及升级请访问官网:
https://www.ibm.com/blogs/psirt/