云安全日报211214：IBM网管解决方案发现执行任意

IBM Tivoli Netcool System Service Monitors/Application Service Monitors是IBM推出的网管解决方案。

12月13日,IBM发布了安全更新,修复了IBM网管解决方案中发现的执行任意代码漏洞。以下是漏洞详情

漏洞详情

来源: https://.ibm./support/pages/node/6525778

1.CVE-2021-3711 CVSS评分9.8 严重程度:严重

OpenSSL 容易受到缓冲区溢出的影响，这是由于 SM2 解密实现中的 EVP_PKEY_decrypt() 函数的边界检查不当造成的。通过发送特制的 SM2 内容，远程攻击者可以溢出缓冲区并在系统上执行任意代码或导致应用程序崩溃。

2.CVE-2021-3712 CVSS评分6.5 严重程度:中等

OpenSSL 可能允许远程攻击者获取敏感信息，这是在处理 ASN.1 字符串时越界读取造成的。通过发送特制数据，攻击者可以利用该漏洞读取系统内存内容或进行拒绝服务攻击。

受影响的产品和版本

IBM Tivoli Netcool System Service Monitors/Application Service Monitors 4.0.1

解决方案

应用IBM Tivoli Netcool System Service Monitors/Application Service Monitors 4.0.1 SP08升级补丁可修复

查看更多漏洞信息 以及升级请访问官网

https://.ibm./blogs/psirt/