IBM Aspera是IBM公司的一套基于IBM FASP协议构建的快速文件传输和流解决方案。9月17日,IBM发布了安全更新,修复了IBM快速文件传输和流解决方案中发现的拒绝服务漏洞。以下是漏洞详情:
漏洞详情
来源: https://www.ibm.com/support/pages/node/6490371
1.CVE-2021-23840 CVSS评分:7.5 严重程度:高
OpenSSL 容易受到拒绝服务的攻击,这是由 CipherUpdate 中的整数溢出引起的。通过发送过长的参数,攻击者可以利用此漏洞导致应用程序崩溃。
2.CVE-2021-23841 CVSS评分:7.5 严重程度:高
OpenSSL容易受到拒绝服务的影响,这是由 X509_issuer_and_serial_hash() 函数中的 NULL 指针取消引用引起的。通过解析 issuer 字段,攻击者可以利用此漏洞导致应用程序崩溃。
3.CVE-2021-23840 CVSS评分:5.9 严重程度:中
OpenSSL 可能提供比预期更弱的安全性,这是由不正确的 SSLv2 回滚保护引起的,该保护允许在填充检查期间反转逻辑。如果服务器在编译时配置为 SSLv2 支持,在运行时配置为 SSLv2 支持或配置为 SSLv2 密码套件,如果发生版本回滚攻击,它将接受连接,如果进行正常的 SSLv2 连接尝试,则错误地拒绝连接。
受影响的产品和版本
IBM Aspera Shares 1.9.14及更早版本
IBM Aspera Console 3.4.0及更早版本
解决方案
IBM Aspera Shares 升级至1.9.15版本
IBM Aspera Console 升级至3.4.2版本
IBM官方建议尽快应用包含此问题修复程序的临时修复程序.
查看更多漏洞信息 以及升级请访问官网:
https://www.ibm.com/blogs/psirt/