Une vulnérabilité de déni de service affecte le composant OpenSSH des produits "IBM SAN Volume Controller", "IBM Storwize" et "IBM FlashSystem".
Cette vulnérabilité est due à une tentative d'accès, via un pointeur NULL, à un espace mémoire non-alloué, ce qui entraîne le plantage de l'application, lorsqu'un message du type SSH2_MSG_NEWKEYS est envoyé au serveur.
Un attaquant distant, sans privilèges spécifiques, et sans compétences particulières, pourrait exploiter cette vulnérabilité sans interaction d'un utilisateur sur la machine cible.
Informations
+
Impact
- Déni de service
Criticité
- CVSS v3 : 5.3
Existence d’un code d’exploitation de la vulnérabilité
- Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
Les produits sont vulnérables quand ils exécutent la version 7.5
- IBM SAN Volume Controller
- IBM Storwize V7000
- IBM Storwize V5000
- IBM Storwize V3700
- IBM Storwize V3500
- IBM FlashSystem V9000
CVE
- CVE-2016-10708
Recommandations
+
Correctifs
- Un patch de sécurité a été publié par IBM corrigeant la vulnérabilité.
Solution de contournement
- Il n’existe pas actuellement de solution de contournement.
Liens
+