Vulnérabilités dans IBM Spectrum Protect

Date de publication :

Plusieurs vulnérabilités de Db2 affectent IBM Spectrum Protect, une solution de sauvegarde de données. Elles peuvent permettre à un attaquant de provoquer un déni de service ou une exécution de code arbitraire.

CVE-2020-4204 [Score CVSS v3 : 8.4] : Une vulnérabilité de type dépassement de tampon a été découverte dans le composant IBM DB2 utilisé par IBM Spectrum Protect Server. Un attaquant local non-authentifié pourrait causer un déni de service voir exécuter du code arbitraire.

CVE-2020-4135 [Score CVSS v3 : 7.5] : Une vulnérabilité de type déni de service a été découverte dans le composant IBM DB2 utilisé par IBM Spectrum Protect Server. Un attaquant distant non-authentifié peut causer une consommation excessive de mémoire via l’envoi de paquets spécialement conçus, résultant en une situation de déni de service.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de code arbitraire

    Déni de service

Criticité

    Score CVSS v3 : 8.4 maximum

Existence d’un code d’exploitation

    Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

    IBM Spectrum Protect Server versions 8.1.0.000 - 8.1.9.xxx

    IBM Spectrum Protect Server versions 7.1.0.000 - 7.1.10.xxx

CVE

    CVE-2020-4135

    CVE-2020-4200

    CVE-2020-4204

    CVE-2020-4230

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour le produit concerné vers une version non-vulnérable (8.1.10.000 ou 7.1.11.000)

Solution de contournement

  • Aucune solution de contournement n’est disponible

Liens