云安全日报210630：IBM应用程序生命周期管理软件

IBM Rational ClearQuest是IBM公司的一套应用程序生命周期管理 (ALM) 软件。该软件为应用程序提供缺陷跟踪、流程定制、实时报告等，从而提高开发周期的可视性和可控性。

6月29日,IBM发布了安全更新,修复了IBM应用程序生命周期管理 (ALM) 软件中发现的拒绝服务漏洞。以下是漏洞详情

漏洞详情

来源: https://.ibm./support/pages/node/6429433

1.CVE-2020-1971 CVSS评分7.5 严重程度:重要

OpenSSL容易受到由NULL指针取消引用引起的拒绝服务的影响。如果GENERAL_NAME_cmp函数包含 EDIPARTYNAME，攻击者可以利用此漏洞导致应用程序崩溃。

2.CVE-2021-23840 CVSS评分7.5 严重程度:重要

OpenSSL 容易受到拒绝服务的攻击，这是由CipherUpdate中的整数溢出引起的。通过发送过长的参数，攻击者可以利用此漏洞导致应用程序崩溃。

3.CVE-2021-23841 CVSS评分7.5 严重程度:重要

OpenSSL容易受到拒绝服务的影响，这是由 X509_issuer_and_serial_hash() 函数中的NULL指针取消引用引起的。通过解析 issuer字段，攻击者可以利用此漏洞导致应用程序崩溃。

4.CVE-2021-23839 CVSS评分5.9 严重程度:重要

OpenSSL可能提供比预期更弱的安全性,这是由不正确的 SSLv2 回滚保护引起的，该保护允许在填充检查期间反转逻辑。如果服务器在编译时配置为SSLv2支持，在运行时配置为SSLv2支持或配置为SSLv2密码套件，如果发生版本回滚攻击，它将接受连接，如果进行正常的SSLv2连接尝试，则会错误地拒绝连接。

受影响的产品和版本

IBM Rational ClearQuest 9.0, 9.0.1, 9.0.2, 9.1版本

解决方案

对于IBM Rational ClearQuest 9.1版本,应用Rational ClearQuest Fix Pack 1 (9.1.0.1)补丁
对于IBM Rational ClearQuest 9.0.2 ~ 9.0.2.3版本,应用Rational ClearQuest Fix Pack 4 (9.0.2.4)补丁
对于IBM Rational ClearQuest 9.0.1 ~ 9.0.1.11, 9.0 ~ 9.0.0.6版本,应用Rational ClearQuest Fix Pack 4 (9.0.2.4)补丁

查看更多漏洞信息 以及升级请访问官网
https://.ibm./blogs/psirt/