| Vulnerability Name: | CVE-2021-3711 (CCN-208072) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Assigned: | 2021-08-24 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Published: | 2021-08-24 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Updated: | 2022-12-06 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Summary: | OpenSSL is vulnerable to a buffer overflow, caused by improper bounds checking by the EVP_PKEY_decrypt() function within implementation of the SM2 decryption. By sending specially crafted SM2 content, a remote attacker could overflow a buffer and execute arbitrary code on the system or cause the application to crash. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| CVSS v3 Severity: | 9.8 Critical (CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) 8.5 High (Temporal CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C)
8.5 High (CCN Temporal CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C)
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| CVSS v2 Severity: | 7.5 High (CVSS v2 Vector: AV:N/AC:L/Au:N/C:P/I:P/A:P)
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerability Consequences: | Gain Access | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| References: | Source: MITRE Type: CNA CVE-2021-3711 Source: openssl-security@openssl.org Type: Mailing List, Third Party Advisory openssl-security@openssl.org Source: openssl-security@openssl.org Type: Third Party Advisory openssl-security@openssl.org Source: XF Type: UNKNOWN openssl-cve20213711-bo(208072) Source: openssl-security@openssl.org Type: Patch, Vendor Advisory openssl-security@openssl.org Source: openssl-security@openssl.org Type: Mailing List, Third Party Advisory openssl-security@openssl.org Source: openssl-security@openssl.org Type: Mailing List, Third Party Advisory openssl-security@openssl.org Source: openssl-security@openssl.org Type: Third Party Advisory openssl-security@openssl.org Source: openssl-security@openssl.org Type: Third Party Advisory openssl-security@openssl.org Source: openssl-security@openssl.org Type: Third Party Advisory openssl-security@openssl.org Source: openssl-security@openssl.org Type: Third Party Advisory openssl-security@openssl.org Source: openssl-security@openssl.org Type: Third Party Advisory openssl-security@openssl.org Source: CCN Type: IBM Security Bulletin 6487587 (Sterling Connect:Express for UNIX) OpenSSL Vulnerability Affects IBM Sterling Connect:Express for UNIX (CVE-2021-3711) Source: CCN Type: IBM Security Bulletin 6492573 (i) OpenSSL for IBM i is affected by CVE-2021-3711 and CVE-2021-3712 Source: CCN Type: IBM Security Bulletin 6507315 (Watson Explorer) Vulnerabilities affect Watson Explorer Foundational Components (CVE-2021-3712, CVE-2021-3711) Source: CCN Type: IBM Security Bulletin 6508575 (Rational Application Developer for WebSphere Software) Multiple vulnerabilities affect IBM Rational Application Developer for WebSphere Software - September 2021 Source: CCN Type: IBM Security Bulletin 6510162 (WIoTP MessageGateway) OpenSSL publicly disclosed vulnerability affects MessageGateway (CVE-2021-3711) Source: CCN Type: IBM Security Bulletin 6514021 (Security Verify) ultiple Security Vulnerabilities fixed in Openssl as shipped with IBM Security Verify products (CVE-2021-3711, CVE-2021-3712) Source: CCN Type: IBM Security Bulletin 6514451 (Safer Payments) IBM Safer Payments v5.7 to v6.3 releases are affected by an OpenSSL Security Advisory (CVE-2021-3711) Source: CCN Type: IBM Security Bulletin 6516396 (MQ for HPE NonStop) IBM MQ for HP NonStop Server is affected by OpenSSL vulnerability CVE-2021-3711 Source: CCN Type: IBM Security Bulletin 6516398 (WebSphere MQ) IBM WebSphere MQ for HP NonStop Server is affected by OpenSSL vulnerability CVE-2021-3711 Source: CCN Type: IBM Security Bulletin 6516478 (InfoSphere Information Server) Multiple vulnerabilities in OpenSSL affect IBM InfoSphere Information Server Source: CCN Type: IBM Security Bulletin 6518864 (Rational ClearQuest) Vulnerabilities in OpenSSL affect IBM Rational ClearQuest (CVE-2021-3711, CVE-2021-3712) Source: CCN Type: IBM Security Bulletin 6520342 (Integration Bus) Vulnerabilities in OpenSSL affect IBM Integration Bus and IBM App Connect Enterprise v11 & v12 (CVE-2021-3711) Source: CCN Type: IBM Security Bulletin 6524712 (Spectrum Protect) Vulnerabilities in OpenSSL affect IBM Spectrum Protect Backup-Archive Client NetApp Services (CVE-2021-3712, CVE-2021-3711) Source: CCN Type: IBM Security Bulletin 6525218 (Rational ClearCase) Vulnerability in OpenSSL affects IBM Rational ClearCase (CVE-2021-3711, CVE-2021-3712) Source: CCN Type: IBM Security Bulletin 6525778 (Netcool/System Service Monitor) Multiple vulnerabilities in OpenSSL affect IBM Tivoli Netcool System Service Monitors/Application Service Monitors Source: CCN Type: IBM Security Bulletin 6551876 (Cloud Pak for Security) Cloud Pak for Security uses packages that are vulnerable to multiple CVEs Source: CCN Type: IBM Security Bulletin 6605851 (Security Verify Information Queue) OpenSSL vulnerabilities in the IBM Security Verify Information Queue web server (CVE-2021-3711, CVE-2021-3712) Source: CCN Type: IBM Security Bulletin 6828527 (Cognos Analytics) IBM Cognos Analytics has addressed multiple vulnerabilities (CVE-2022-34339, CVE-2021-3712, CVE-2021-3711, CVE-2021-4160, CVE-2021-29425, CVE-2021-3733, CVE-2021-3737, CVE-2022-0391, CVE-2021-43138, CVE-2022-24758) Source: CCN Type: IBM Security Bulletin 6829161 (Watson Speech Services Cartridge for Cloud Pak for Data) IBM Watson Speech Services Cartridge for IBM Cloud Pak for Data is vulnerable to buffer overflow in OpenSSL (CVE-2021-3711). Source: CCN Type: OpenSSL Security Advisory [24 August 2021] OpenSSL Security Advisory [24 August 2021] Source: openssl-security@openssl.org Type: Vendor Advisory openssl-security@openssl.org Source: CCN Type: Oracle CPUApr2022 Oracle Critical Patch Update Advisory - April 2022 Source: openssl-security@openssl.org Type: Patch, Third Party Advisory openssl-security@openssl.org Source: CCN Type: Oracle CPUJan2022 Oracle Critical Patch Update Advisory - January 2022 Source: openssl-security@openssl.org Type: Patch, Third Party Advisory openssl-security@openssl.org Source: CCN Type: Oracle CPUOct2021 Oracle Critical Patch Update Advisory - October 2021 Source: openssl-security@openssl.org Type: Patch, Third Party Advisory openssl-security@openssl.org Source: openssl-security@openssl.org Type: Third Party Advisory openssl-security@openssl.org Source: openssl-security@openssl.org Type: Third Party Advisory openssl-security@openssl.org Source: CCN Type: WhiteSource Vulnerability Database CVE-2021-3711 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerable Configuration: | Configuration CCN 1: Denotes that component is vulnerable | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Oval Definitions | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| BACK | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||