Vulnérabilité dans IBM Spectrum Protect

Date de publication :

Une vulnérabilité a été découverte dans IBM Spectrum Protect, une solution de sauvegarde de données. Elle peut permettre à un attaquant local et authentifié d’exécuter du code arbitraire. 

CVE-2019-4732 [Score CVSS v3 : 7.2] : Un composant d’IBM Spectrum Protect, IBM Java SDK, contient une vulnérabilité pouvant permettre une exécution de code arbitraire. Elle est due à une vulnérabilité de type “DLL search order hijacking” dans le client Windows. Un attaquant local et authentifié pourrait exploiter cette vulnérabilité en plaçant un fichier spécialement forgé dans un dossier compromis et ainsi pouvoir exécuter du code arbitraire.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire

Criticité

  • Score CVSS v3 : 7.2

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement

Composants vulnérables

  • IBM Spectrum Protect versions 8.1.0.0-8.1.9.0 et 7.1.0.0-7.1.3.3

CVE

  • CVE-2019-4732

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour IBM Spectrum Protect vers une version non vulnérable (8.1.9.1 ou 7.1.3.4).

Solution de contournement

  • Aucune solution de contournement n’est disponible

Liens