Vulnérabilité dans l’algorithme de compression lz4
Date de publication :
Date de mise à jour :
CVE-2021-3520 [Score CVSS v3 : 9.8]
Une vulnérabilité a été corrigée dans lz4. L’envoi d’un fichier spécifiquement modifié à une application liée à lz4 peut déclencher un débordement d'entier, conduisant à l'appel de memmove() sur un argument de taille négative, provoquant une écriture hors limites. Un attaquant distant et non authentifié peut déclencher un déni de service et potentiellement une injection de code arbitraire en exploitant cette vulnérabilité.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Risques
- Déni de service
- Injection de code arbitraire
Criticité
- Score CVSS v3 : 9.8
Existence d’un code d’exploitation
- Un exemple d'exploit est détaillé ici.
Composants vulnérables
- Les versions de lz4 antérieures à 1.8.3 sont impactées par cette vulnérabilités
NetApp Active IQ Unified Manager for VMware vSphere
NetApp Cloud Backup (formerly AltaVault)
NetApp ONTAP Select Deploy administration utility
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour lz4 vers la version 1.8.4 ou ultérieure.
Mettre à jour
NetApp Active IQ Unified Manager for VMware vSphere vers la version 9.10 ou ultérieure.
Mettre à jour NetApp ONTAP vers la version 9.14.1 ou ultérieure.
Il n'existe pas de correctif pour NetApp Cloud Backup concernant cette vulnérabilité.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.