某厂商提供的网管监控与告警解决方案的组件用于企业级运维。
12月13日,安全更新已发布,修复了该网管解决方案中发现的执行任意代码漏洞。以下为漏洞要点:
漏洞详情
1.CVE-2021-3711 CVSS评分:9.8 严重程度:严重
OpenSSL 在 SM2 解密实现中的 EVP_PKEY_decRypt() 函数边界检查存在缺陷。通过发送特制输入,远程攻击者可溢出缓冲区并在系统上执行任意代码或导致应用程序崩溃。
2.CVE-2021-3712 CVSS评分:6.5 严重程度:中等
OpenSSL 可能允许远程攻击者获取敏感信息,这是在处理 ASN.1 字符串时越界读取造成的。攻击者通过发送特制数据可读取内存内容或造成拒绝服务攻击。
受影响的产品和版本
相关网管组件版本为 4.0.1
解决方案
请升级至 4.0.1 SP08 的补丁版本以修复。
