IBM Event Streams是IBM公司的一套基于Apache Kafka(Apache Kafka是一个开源消息系统项目，由Scala写成。该项目的目标是为处理实时数据提供一个统一、高通量、低等待的平台)项目的事件流平台。该平台主要用于Apache Kafka部署、身份验证和加密通信等功能。

6月14日,IBM发布了安全更新,修复了IBM Event Streams中发现的拒绝服务等重要漏洞。以下是漏洞详情：

漏洞详情

来源: https://www.ibm.com/support/pages/node/6463275

1.CVE-2020-8265 CVSS评分：7.5 严重程度:重要

Node.js 容易受到拒绝服务的攻击，这是由 TLS 实现中的 TLSWrap 中的释放后使用引起的。通过写入启用 TLS 的套接字，攻击者可以利用此漏洞破坏内存并导致拒绝服务。

2.CVE-2021-22883 CVSS评分：7.5 严重程度:重要

Node.js 容易受到拒绝服务的攻击，这是由文件描述符泄漏引起的。通过多次尝试连接“未知协议”，攻击者可以利用此漏洞导致内存使用过多并导致系统内存不足。

3.CVE-2021-23840 CVSS评分：7.5 严重程度:重要

OpenSSL 容易受到拒绝服务的影响，这是由 CipherUpdate 中的整数溢出引起的。通过发送过长的参数，攻击者可以利用此漏洞导致应用程序崩溃。

4.CVE-2020-1971 CVSS评分：7.5 严重程度:重要

OpenSSL容易受到由 NULL 指针取消引用引起的拒绝服务的影响。如果 GENERAL_NAME_cmp 函数包含 EDIPARTYNAME，攻击者可以利用此漏洞导致应用程序崩溃。

5.CVE-2020-8287 CVSS评分：7.4 严重程度:重要

Node.js 容易受到 HTTP攻击。通过发送特制的 HTTP 请求标头，攻击者可以利用此漏洞来毒化 Web 缓存，绕过 Web 应用程序防火墙保护，并进行 XSS 攻击。

6.CVE-2021-3189 CVSS评分：7.4 严重程度:重要

Nodejs slashify 模块可能允许远程攻击者进行由开放重定向漏洞引起的网络钓鱼攻击。攻击者可以使用特制 URL 来利用此漏洞将受害者重定向到任意网站。

受影响产品和版本

IBM Event Streams 2019.2.1, 2019.4.1, 2019.4.2,2019.4.3版本

IBM Event Streams in IBM Cloud Pak for Integration 10.0.0, 10.1.0, 10.2.0

解决方案

按照IBM升级和迁移文档升级到IBM Event Streams 10.3.0 可修复

查看更多漏洞信息 以及升级请访问官网：

https://www.ibm.com/blogs/psirt/