Vulnérabilités dans IBM Spectrum Protect

Date de publication :

Plusieurs vulnérabilités de Db2 affectent IBM Spectrum Protect, une solution de sauvegarde de données. Elles peuvent permettre à un attaquant de provoquer un déni de service ou une exécution de code arbitraire.

CVE-2020-4204 [Score CVSS v3 : 8.4] : Une vulnérabilité de type dépassement de tampon a été découverte dans le composant IBM DB2 utilisé par IBM Spectrum Protect Server. Un attaquant local non-authentifié pourrait causer un déni de service voir exécuter du code arbitraire.

CVE-2020-4135 [Score CVSS v3 : 7.5] : Une vulnérabilité de type déni de service a été découverte dans le composant IBM DB2 utilisé par IBM Spectrum Protect Server. Un attaquant distant non-authentifié peut causer une consommation excessive de mémoire via l’envoi de paquets spécialement conçus, résultant en une situation de déni de service.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire
  • Déni de service

Criticité

  • Score CVSS v3 : 8.4 maximum

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

  • IBM Spectrum Protect Server versions 8.1.0.000 - 8.1.9.xxx
  • IBM Spectrum Protect Server versions 7.1.0.000 - 7.1.10.xxx

CVE

  • CVE-2020-4135
  • CVE-2020-4200
  • CVE-2020-4204
  • CVE-2020-4230

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour le produit concerné vers une version non-vulnérable (8.1.10.000 ou 7.1.11.000)

Solution de contournement

  • Aucune solution de contournement n’est disponible

Liens