本文所指的私有云安全与合规解决方案,已针对在运行 AIX 或 Linux 的 Power 系统虚拟化环境中的场景进行优化。
2023年11月1日,该方案发布了安全更新,修复了若干关键漏洞。以下为漏洞详情:
漏洞详情
1.CVE-2021-22901 CVSS评分:8.8 严重程度:重要
cURL libcurl 可能允许远程攻击者在目标系统上执行任意代码,原因是在协商新的 TLS 会话或现有连接上请求客户端证书时存在漏洞。通过诱导受害者访问特制网站,攻击者可利用此漏洞执行任意代码。
2.CVE-2021-22922 CVSS评分:7.8 严重程度:重要
cURL libcurl 可能允许远程攻击者绕过安全限制,原因是在通过 Metalink 功能下载内容时未正确处理数据。通过诱导受害者下载特制内容,攻击者可利用此漏洞将恶意内容保存到磁盘,以供进一步攻击。
3.CVE-2021-22898 CVSS评分:7.5 严重程度:重要
cURL libcurl 可能允许远程攻击者获取敏感信息,原因是在解析发送 NEW_ENV 变量的选项时存在漏洞。攻击者可通过明文网络协议发送特制请求,将内部信息暴露给服务器,并利用这些信息对受影响系统发起进一步攻击。
4.CVE-2021-22945 CVSS评分:7.5 严重程度:重要
cURL libcurl 易受拒绝服务影响,原因是在向 MQTT 服务器发送数据时出现释放后使用与双重释放漏洞。通过发送特制数据,远程攻击者可引发拒绝服务条件。
5.CVE-2021-22946 CVSS评分:7.5 严重程度:重要
cURL libcurl 可能允许远程攻击者获取敏感信息,原因是存在所需的 TLS 绕过问题。通过嗅探网络,攻击者可以明文形式获得敏感数据,并利用这些信息对受影响系统发起进一步攻击。
6.CVE-2021-22947 CVSS评分:7.4 严重程度:重要
cURL libcurl 容易受到中间人攻击,原因是在连接到 IMAP、POP3、SMTP 或 FTP 服务器并使用 STARTTLS 将连接升级到 TLS 时存在漏洞。攻击者可利用该漏洞发起中间人攻击,截获端点之间的通信、获取敏感信息或对系统造成进一步危害。
[[IMG_1]]
受影响的产品与版本
该方案的 1.3 版和 2.0 版受影响。
[[IMG_2]]
解决方案
修复程序可通过 FTP 或 HTTP 下载获取:
上述链接指向一个 tar 文件,其中包含已签名的修复建议、开源修复包,以及每个包的 OpenSSL 签名。
[[IMG_3]]
了解更多漏洞信息与升级,请访问相关门户获取后续更新。
