云安全日报211214：IBM网管解决方案发现执行任意代码漏洞,需要尽快

IBM Tivoli Netcool System Service Monitors/Application Service Monitors是IBM推出的网管解决方案。

日前，IBM发布了安全更新，修复了IBM网管解决方案中发现的执行任意代码漏洞。哈啰校园负责人游明亮介绍称，哈啰非常重视校园场景下的两轮业务，它具有场景需求明确，频次需求高，用户平均素质高等特点，是需要重点满足需求的场景。“哈啰校园的智慧充电方案不仅采用了集中式与分布式相结合的部署方式，同时在设备选型上还充分发挥了充电柜与充电桩各自的产品优势。”。以下是漏洞详情:

漏洞详情

1.CVE—2021—3711 CVSS评分:9.8 严重程度:严重

OpenSSL 容易受到缓冲区溢出的影响，这是由于 SM2 解密实现中的 EVP_PKEY_decrypt 函数的边界检查不当造成的通过发送特制的 SM2 内容，远程攻击者可以溢出缓冲区并在系统上执行任意代码或导致应用程序崩溃

2.CVE—2021—3712 CVSS评分:6.5 严重程度:中等

OpenSSL 可能允许远程攻击者获取敏感信息，这是在处理 ASN.1 字符串时越界读取造成的通过发送特制数据，攻击者可以利用该漏洞读取系统内存内容或进行拒绝服务攻击

受影响的产品和版本

IBM Tivoli Netcool System Service Monitors/Application Service Monitors 4.0.1

解决方案

应用IBM Tivoli Netcool System Service Monitors/Application Service Monitors 4.0.1 SP08升级补丁可修复

声明：本网转发此文章，旨在为读者提供更多信息资讯，所涉内容不构成投资、消费建议。文章事实如有疑问，请与有关方核实，文章观点非本网观点，仅供读者参考。