云安全日报211102：IBM私有云安全性与合规性解决

IBM PoerSC是IBM公司的一套旨在保护私有云的安全性与合规性解决方案。该方案已经针对运行 AIX® 或 Linux 的 Poer Systems™ 服务器上的虚拟化环境而优化。

11月1日,IBM发布了安全更新,修复了IBM PoerSC中发现的多个重要漏洞。以下是漏洞详情

漏洞详情

来源: https://.ibm./blogs/psirt/security-bulletin-multiple-vulnerabilities-in-curl-affect-poersc/

1.CVE-2021-22901 CVSS评分8.8 严重程度:重要

cURL libcurl 可能允许远程攻击者在系统上执行任意代码，这是由在协商新的 TLS 会话或在现有连接上请求客户端证书时的漏洞造成的。通过说服受害者访问特制网站，攻击者可以利用此漏洞在系统上执行任意代码。

2.CVE-2021-22922 CVSS评分7.8 严重程度:重要

cURL libcurl 可能允许远程攻击者绕过安全限制，这是由于没有通过 metalink 功能删除不正确的内容。通过说服受害者下载特制内容，攻击者可以利用此漏洞访问恶意内容，将其保存在磁盘文件中以供进一步攻击。

3.CVE-2021-22898 CVSS评分7.5 严重程度:重要

cURL libcurl 可能允许远程攻击者获取敏感信息，这是由发送NEW_ENV变量的选项解析器中的漏洞引起的。通过使用明文网络协议发送特制的请求，攻击者可以利用该漏洞获取敏感的内部信息到服务器，并利用这些信息对受影响的系统发起进一步的攻击。

4.CVE-2021-22945 CVSS评分7.5 严重程度:重要

cURL libcurl容易受到拒绝服务的影响，这是由向MQTT服务器发送数据时的释放后使用和双重释放漏洞引起的。通过发送特制数据，远程攻击者可以利用此漏洞造成拒绝服务条件。

5.CVE-2021-22946 CVSS评分7.5 严重程度:重要

cURL libcurl可能允许远程攻击者获取敏感信息，这是由所需的TLS绕过问题引起的。通过嗅探网络，攻击者可以利用此漏洞通过网络以明文形式获取敏感数据，并利用此信息对受影响的系统发起进一步攻击。

6.CVE-2021-22947 CVSS评分7.4 严重程度:重要

cURL libcurl 容易受到中间人攻击，这是由连接到 IMAP、POP3、SMTP 或 FTP 服务器以使用 STARTTLS 安全地交换数据以将连接升级到 TLS 级别时存在的漏洞造成的。攻击者可以利用该漏洞发起中间人攻击，获取端点之间的通信通道，获取敏感信息或进一步危害系统。

受影响的产品和版本

IBM PoerSC 1.3, 2.0版本

解决方案

修复程序可以通过 ftp 或 http 下载

ftp://aix.softare.ibm./aix/efixes/poersc/security/curl_fix7.tar

http://aix.softare.ibm./aix/efixes/poersc/security/curl_fix7.tar

https://aix.softare.ibm./aix/efixes/poersc/security/curl_fix7.tar

上面的链接指向一个 tar 文件，其中包含此已签名的建议、开源修复包以及每个包的 OpenSSL 签名。

查看更多漏洞信息 以及升级请访问官网

https://.ibm./blogs/psirt/