Vulnérabilités dans des produits NetApp via des failles sur Java
Date de publication :
Plusieurs produits NetApp incorporant des produits Java sont affectés par des vulnérabilités. Elles peuvent permettre à un attaquant de provoquer une atteinte à la confidentialité et à l’intégrité des données ou un déni de service.
CVE-2019-18197 [Score CVSS v3 : 8.1] : Une vulnérabilité de type “use-after-free” a été découverte dans libxslt. Un attaquant distant exploitant cette vulnérabilité peut obtenir des informations sensibles voire écrire des informations au delà d’un tampon alloué, menant potentiellement à un déni de service par un plantage du programme.
CVE-2020-2803, CVE-2020-2805 [Score CVSS v3 : 8.3] : Une vulnérabilité difficile d’exploitation est présente dans Java SE et Java SE Embedded et peut permettre à un attaquant non authentifié de prendre le contrôle de systèmes vulnérables. L’exploitation de cette vulnérabilité nécessite une interaction utilisateur.
CVE-2020-2816 [Score CVSS v3 : 7.5] : Une vulnérabilité facile d'exploitation a été découverte dans Java SE. Elle peut permettre à un attaquant non authentifié mais possédant un accès réseau via HTTPS de créer, supprimer ou modifier des données sensibles.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Modification ou suppression de données sensibles
- Déni de service
Criticité
- Score CVSS v3 : 8.3 au maximum
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible
Composants vulnérables
- Active IQ Unified Manager (précédemment OnCommand Unified Manager) for VMware vSphere 9.5
- Active IQ Unified Manager (précédemment OnCommand Unified Manager) for Windows 7.3
- E-Series SANtricity OS Controller Software 11.x
- E-Series SANtricity Web Services (REST API) for Web Services Proxy
- NetApp E-Series Performance Analyzer
- NetApp HCI Compute Node (Bootstrap OS)
- NetApp SolidFire & HCI Management Node
- NetApp SolidFire & HCI Storage Node (Element Software)
- OnCommand Workflow Automation
- SANtricity Unified Manager
- SnapManager for Oracle
- SnapManager for SAP
- StorageGRID (précédemment StorageGRID Webscale)
- StorageGRID9 (9.x et antérieur)
CVE
- CVE-2020-2803
- CVE-2020-2805
- CVE-2019-18197
- CVE-2020-2816
- CVE-2020-2754
- CVE-2020-2755
- CVE-2020-2756
- CVE-2020-2757
- CVE-2020-2764
- CVE-2020-2767
- CVE-2020-2773
- CVE-2020-2778
- CVE-2020-2781
- CVE-2020-2800
- CVE-2020-2830
Solutions ou recommandations
Mise en place de correctifs de sécurité
Des correctifs de sécurité sont disponibles pour NetApp E-Series Performance Analyzer et E-Series SANtricity OS Controller Software 11.x
Solution de contournement
Si un produit requiert JRE pour son fonctionnement, il est conseillé de mettre à jour JRE vers une version non vulnérable concordant avec les besoins du produit.