IBM Cloud Pak System是IBM公司的一套具有可配置、预集成软件的全栈、融合基础架构。该产品支持跨混合云部署、管理和移动应用程序环境。

10月18日,IBM发布了安全更新,修复了IBM Cloud Pak for Security(CP4S)中发现的多个重要漏洞。以下是漏洞详情：

漏洞详情

来源: https://www.ibm.com/support/pages/node/6498023

1.CVE-2021-22118 CVSS评分：7.3 严重程度:重要

VMware由于 WebFlux 应用程序中的缺陷，Tanzu Spring Framework 可能允许本地经过身份验证的攻击者获得系统的提升权限。通过发送特制的请求，经过身份验证的攻击者可以利用此漏洞获得更高的权限来读取或修改 WebFlux 应用程序中的文件，或使用多部分请求数据覆盖任意文件。

2.CVE-2021-27807 CVSS评分：5.5 严重程度:中

Apache PDFBox 容易受到由无限循环缺陷引起的拒绝服务的影响。通过说服受害者打开特制的 .PDF 文件，远程攻击者可以利用此漏洞导致应用程序崩溃。

3.CVE-2021-27906 CVSS评分：5.5 严重程度:中

Apache PDFBox 容易受到由 OutOfMemory-Exception 缺陷引起的拒绝服务的影响。通过说服受害者打开特制的 .PDF 文件，远程攻击者可以利用此漏洞导致应用程序崩溃。

4.CVE-2021-31811 CVSS评分：5.5 严重程度:中

Apache PDFBox 容易受到拒绝服务的影响，这是由加载文件时的内存不足异常引起的。通过说服受害者打开特制的 PDF 文件，远程攻击者可以利用此漏洞导致拒绝服务。

5.CVE-2021-31812 CVSS评分：5.5 严重程度:中

Apache PDFBox 容易受到拒绝服务的影响，这是由加载文件时的错误引起的。通过说服受害者打开特制的PDF文件，远程攻击者可以利用该漏洞使系统进入死循环。

受影响的产品和版本

IBM Security Risk Manager on CP4S 1.7.2.0版本

解决方案

IBM Security Risk Manager on CP4S升级至1.8.0.0可修复

查看更多漏洞信息 以及升级请访问官网：

https://www.ibm.com/blogs/psirt/