Vulnérabilité dans IBM Spectrum Control
Date de publication :
IBM a corrigé plusieurs vulnérabilités au sein de son logiciel de sauvegarde IBM Spectrum Control. Certaines de ses vulnérabilités concernent des dépendances tierces utilisées dans Spectrum Control.
CVE-2021-22921 [Score CVSS v3.1 : 7.8]
Une vulnérabilité au sein de Node.js. Cette faille est due à une mauvaise configuration des permissions dans le répertoire d'installation. Un attaquant local et non authentifié peut être en mesure de réaliser des attaques par détournement de chemins et de DLL afin d’élever ses privilèges et d’exécuter du code arbitraire.
CVE-2021-35517 [Score CVSS v3.1 : 7.5]
Une vulnérabilité au sein d’Apache Commons Compress. Cette faille est causée par une erreur de type "out of memory" lors de l'allocation de grandes quantités de mémoire. En persuadant une victime d'ouvrir une archive TAR spécialement conçue, un attaquant distant et non authentifié peut être en mesure d’exploiter cette vulnérabilité afin de provoquer un déni de service.
CVE-2021-36090 [Score CVSS v3.1 : 7.5]
Une vulnérabilité au sein d’Apache Commons Compress. Cette faille est causée par une erreur de type "out of memory" lors de l'allocation de grandes quantités de mémoire. En persuadant une victime d'ouvrir une archive ZIP spécialement conçue, un attaquant distant et non authentifié peut être en mesure d’exploiter cette vulnérabilité afin de provoquer un déni de service.
CVE-2021-29505 [Score CVSS v3.1 : 8.8]
Une vulnérabilité au sein du composant XStream. Son exploitation pourrait permettre à un attaquant distant et authentifié d'exécuter des commandes arbitraires sur le système, en raison d'une validation incorrecte des entrées.
CVE-2021-35516 [Score CVSS v3.1 : 7.5]
Une vulnérabilité au sein d’Apache Commons Compress. Cette faille est causée par une erreur de type "out of memory" lors de l'allocation de grandes quantités de mémoire. En persuadant une victime d'ouvrir une archive 7Z spécialement conçue, un attaquant distant et non authentifié peut être en mesure d’exploiter cette vulnérabilité afin de provoquer un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Exécution de code arbitraire
- Atteinte à la confidentialité des données
Criticité
- Scores CVSS v3.1 : 7.5 ; 7.8 ; 8.8
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- IBM Spectrum Control de la version 5.3.0.1 jusqu’à 5.4.3.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour IBM Spectrum Control conformément aux instructions de l’éditeur IBM.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.