云安全日报210514：IBM多云自助服务管理平台发现拒绝服务攻击漏洞,需要尽快升级

IBM Cloud Automation Manager是IBM公司的一套多云自助服务管理平台。该平台支持在多个云中部署云基础架构。

5月13日,IBM发布了安全更新,修复了多云自助服务管理平台IBM Cloud Automation Manager中发现的拒绝服务攻击漏洞。以下是漏洞详情：

漏洞详情

来源: https://www.ibm.com/support/pages/node/6453063

1.CVE-2021-23840 CVSS评分：7.5 严重程度:高

由于CipherUpdate中的整数溢出，OpenSSL容易受到拒绝服务的攻击。通过发送一个过长的参数，攻击者可以利用此漏洞导致应用程序崩溃。

2.CVE-2021-22883 CVSS评分：7.5 严重程度:高

由于文件描述符泄漏，Node.js容易受到拒绝服务的攻击。通过多次尝试连接未知协议，攻击者可以利用此漏洞导致过多的内存使用，并导致系统内存不足。

3.CVE-2021-22884 CVSS评分：6.5 严重程度:中等

当白名单包含＆＃34; localhost6＆＃34;时，由于错误而导致Node.js容易受到拒绝服务的攻击。通过控制受害者的DNS服务器或欺骗其响应，攻击者可以利用＆＃34; localhost6＆＃34;来利用此漏洞绕过DNS重新绑定保护机制。域并导致拒绝服务。

受影响的产品和版本

IBM Cloud Automation Manager 4.2.0.1

解决方案

从https://www.ibm.com/support/fixcentral/swg/selectFixes?product=ibm/WebSphere/IBM+Cloud+Private&release=All&platform=All&function=fixId&fixids=icp-cam下载IBM Cloud Automation Manager 4.2.0.1 iFix 3-3.2.1-build600412＆includeSupersedes = 0

遵循https://www.ibm.com/support/fixcentral/swg/selectFixes?product=ibm/WebSphere/IBM+Cloud+Private&release=All&platform=All&function=fixId&fixids=icp-cam-3.2.1的自述链接中的指示。-build600412＆includeSupersedes = 0将iFix 3安装到IBM Cloud Automation Manager 4.2.0.1。

查看更多漏洞信息 以及升级请访问官网：

https://www.ibm.com/blogs/psirt/