Vulnérabilités dans des produits NetApp via des failles sur Java

Date de publication :

Plusieurs produits NetApp incorporant des produits Java sont affectés par des vulnérabilités. Elles peuvent permettre à un attaquant de provoquer une atteinte à la confidentialité et à l’intégrité des données ou un déni de service.

CVE-2019-18197 [Score CVSS v3 : 8.1] : Une vulnérabilité de type “use-after-free” a été découverte dans libxslt. Un attaquant distant exploitant cette vulnérabilité peut obtenir des informations sensibles voire écrire des informations au delà d’un tampon alloué, menant potentiellement à un déni de service par un plantage du programme.

CVE-2020-2803, CVE-2020-2805 [Score CVSS v3 : 8.3] : Une vulnérabilité difficile d’exploitation est présente dans Java SE et Java SE Embedded et peut permettre à un attaquant non authentifié de prendre le contrôle de systèmes vulnérables. L’exploitation de cette vulnérabilité nécessite une interaction utilisateur.

CVE-2020-2816 [Score CVSS v3 : 7.5] : Une vulnérabilité facile d'exploitation a été découverte dans Java SE. Elle peut permettre à un attaquant non authentifié mais possédant un accès réseau via HTTPS de créer, supprimer ou modifier des données sensibles.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Modification ou suppression de données sensibles

    Déni de service

Criticité

    Score CVSS v3 : 8.3 au maximum

Existence d’un code d’exploitation

    Aucun code d’exploitation n’est disponible

Composants vulnérables

    Active IQ Unified Manager (précédemment OnCommand Unified Manager) for VMware vSphere 9.5 

    Active IQ Unified Manager (précédemment OnCommand Unified Manager) for Windows 7.3 

    E-Series SANtricity OS Controller Software 11.x

    E-Series SANtricity Web Services (REST API) for Web Services Proxy

    NetApp E-Series Performance Analyzer

    NetApp HCI Compute Node (Bootstrap OS)

    NetApp SolidFire & HCI Management Node

    NetApp SolidFire & HCI Storage Node (Element Software)

    OnCommand Workflow Automation

    SANtricity Unified Manager

    SnapManager for Oracle

    SnapManager for SAP

    StorageGRID (précédemment StorageGRID Webscale)

    StorageGRID9 (9.x et antérieur)

CVE

    CVE-2020-2803 

    CVE-2020-2805 

    CVE-2019-18197 

    CVE-2020-2816

    CVE-2020-2754

    CVE-2020-2755

    CVE-2020-2756

    CVE-2020-2757

    CVE-2020-2764

    CVE-2020-2767

    CVE-2020-2773

    CVE-2020-2778

    CVE-2020-2781

    CVE-2020-2800

    CVE-2020-2830

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Des correctifs de sécurité sont disponibles pour NetApp E-Series Performance Analyzer et E-Series SANtricity OS Controller Software 11.x

Solution de contournement

  • Si un produit requiert JRE pour son fonctionnement, il est conseillé de mettre à jour JRE vers une version non vulnérable concordant avec les besoins du produit.

Liens