云安全日报210630:IBM应用程序生命周期管理软件发现拒绝服务漏洞,需要尽快升级

2022-11-06

IBM Rational ClearQuest是IBM公司的一套应用程序生命周期管理 (ALM) 软件。该软件为应用程序提供缺陷跟踪、流程定制、实时报告等,从而提高开发周期的可视性和可控性。

6月29日,IBM发布了安全更新,修复了IBM应用程序生命周期管理 (ALM) 软件中发现的拒绝服务漏洞。以下是漏洞详情:

漏洞详情

来源: https://www.ibm.com/support/pages/node/6429433

1.CVE-2020-1971 CVSS评分:7.5 严重程度:重要

OpenSSL容易受到由NULL指针取消引用引起的拒绝服务的影响。如果GENERAL_NAME_cmp函数包含 EDIPARTYNAME,攻击者可以利用此漏洞导致应用程序崩溃。

2.CVE-2021-23840 CVSS评分:7.5 严重程度:重要

OpenSSL 容易受到拒绝服务的攻击,这是由CipherUpdate中的整数溢出引起的。通过发送过长的参数,攻击者可以利用此漏洞导致应用程序崩溃。

3.CVE-2021-23841 CVSS评分:7.5 严重程度:重要

OpenSSL容易受到拒绝服务的影响,这是由 X509_issuer_and_serial_hash() 函数中的NULL指针取消引用引起的。通过解析 issuer字段,攻击者可以利用此漏洞导致应用程序崩溃。

4.CVE-2021-23839 CVSS评分:5.9 严重程度:重要

OpenSSL可能提供比预期更弱的安全性,这是由不正确的 SSLv2 回滚保护引起的,该保护允许在填充检查期间反转逻辑。如果服务器在编译时配置为SSLv2支持,在运行时配置为SSLv2支持或配置为SSLv2密码套件,如果发生版本回滚攻击,它将接受连接,如果进行正常的SSLv2连接尝试,则会错误地拒绝连接。

受影响的产品和版本

IBM Rational ClearQuest 9.0, 9.0.1, 9.0.2, 9.1版本

解决方案

对于IBM Rational ClearQuest 9.1版本,应用Rational ClearQuest Fix Pack 1 (9.1.0.1)补丁对于IBM Rational ClearQuest 9.0.2 ~ 9.0.2.3版本,应用Rational ClearQuest Fix Pack 4 (9.0.2.4)补丁对于IBM Rational ClearQuest 9.0.1 ~ 9.0.1.11, 9.0 ~ 9.0.0.6版本,应用Rational ClearQuest Fix Pack 4 (9.0.2.4)补丁

查看更多漏洞信息 以及升级请访问官网:https://www.ibm.com/blogs/psirt/

您好!请登录

点击取消回复