IBM Rational CleaRQuest是IBM公司的一套应用程序生命周期管理软件。该软件为应用程序提供缺陷跟踪、流程定制、实时报告等,从而提高开发周期的可视性和可控性。
6月29日,IBM发布了安全更新,修复了IBM应用程序生命周期管理软件中发现的拒绝服务漏洞。以下是漏洞详情:
漏洞详情
1.CVE-2020-1971 CVSS评分:7.5 严重程度:重要
OpenSSL容易受到由NULL指针取消引用引起的拒绝服务的影响。如果GENERAL_NAME_cMp函数包含 EDIPARTYNAME,攻击者可以利用此漏洞导致应用程序崩溃。
2.CVE-2021-23840 CVSS评分:7.5 严重程度:重要
OpenSSL 容易受到拒绝服务的攻击,这是由CIPheRupdate中的整数溢出引起的。通过发送过长的参数,攻击者可以利用此漏洞导致应用程序崩溃。
3.CVE-2021-23841 CVSS评分:7.5 严重程度:重要
OpenSSL容易受到拒绝服务的影响,这是由 X509_iSSueR_and_seRial_hash() 函数中的NULL指针取消引用引起的。通过解析 iSSueR字段,攻击者可以利用此漏洞导致应用程序崩溃。
4.CVE-2021-23839 CVSS评分:5.9 严重程度:重要
OpenSSL可能提供比预期更弱的安全性,这是由不正确的 SSLv2 回滚保护引起的,该保护允许在填充检查期间反转逻辑。如果服务器在编译时配置为SSLv2支持,在运行时配置为SSLv2支持或配置为SSLv2密码套件,如果发生版本回滚攻击,它将接受连接,如果进行正常的SSLv2连接尝试,则会错误地拒绝连接。
受影响的产品和版本
IBM Rational CleaRQuest 9.0, 9.0.1, 9.0.2, 9.1版本
解决方案
对于IBM Rational CleaRQuest 9.1版本,应用Rational CleaRQuest Fix Pack 1 (9.1.0.1)补丁
对于IBM Rational CleaRQuest 9.0.2 ~ 9.0.2.3版本,应用Rational CleaRQuest Fix Pack 4 (9.0.2.4)补丁
对于IBM Rational CleaRQuest 9.0.1 ~ 9.0.1.11, 9.0 ~ 9.0.0.6版本,应用Rational CleaRQuest Fix Pack 4 (9.0.2.4)补丁
