Vulnérabilités dans des produits NetApp via des failles sur Java

Date de publication :

Plusieurs produits NetApp incorporant des produits Java sont affectés par des vulnérabilités. Elles peuvent permettre à un attaquant de provoquer une atteinte à la confidentialité et à l’intégrité des données ou un déni de service.

CVE-2019-18197 [Score CVSS v3 : 8.1] : Une vulnérabilité de type “use-after-free” a été découverte dans libxslt. Un attaquant distant exploitant cette vulnérabilité peut obtenir des informations sensibles voire écrire des informations au delà d’un tampon alloué, menant potentiellement à un déni de service par un plantage du programme.

CVE-2020-2803, CVE-2020-2805 [Score CVSS v3 : 8.3] : Une vulnérabilité difficile d’exploitation est présente dans Java SE et Java SE Embedded et peut permettre à un attaquant non authentifié de prendre le contrôle de systèmes vulnérables. L’exploitation de cette vulnérabilité nécessite une interaction utilisateur.

CVE-2020-2816 [Score CVSS v3 : 7.5] : Une vulnérabilité facile d'exploitation a été découverte dans Java SE. Elle peut permettre à un attaquant non authentifié mais possédant un accès réseau via HTTPS de créer, supprimer ou modifier des données sensibles.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Modification ou suppression de données sensibles
  • Déni de service

Criticité

  • Score CVSS v3 : 8.3 au maximum

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible

Composants vulnérables

  • Active IQ Unified Manager (précédemment OnCommand Unified Manager) for VMware vSphere 9.5 
  • Active IQ Unified Manager (précédemment OnCommand Unified Manager) for Windows 7.3 
  • E-Series SANtricity OS Controller Software 11.x
  • E-Series SANtricity Web Services (REST API) for Web Services Proxy
  • NetApp E-Series Performance Analyzer
  • NetApp HCI Compute Node (Bootstrap OS)
  • NetApp SolidFire & HCI Management Node
  • NetApp SolidFire & HCI Storage Node (Element Software)
  • OnCommand Workflow Automation
  • SANtricity Unified Manager
  • SnapManager for Oracle
  • SnapManager for SAP
  • StorageGRID (précédemment StorageGRID Webscale)
  • StorageGRID9 (9.x et antérieur)

CVE

  • CVE-2020-2803 
  • CVE-2020-2805 
  • CVE-2019-18197 
  • CVE-2020-2816
  • CVE-2020-2754
  • CVE-2020-2755
  • CVE-2020-2756
  • CVE-2020-2757
  • CVE-2020-2764
  • CVE-2020-2767
  • CVE-2020-2773
  • CVE-2020-2778
  • CVE-2020-2781
  • CVE-2020-2800
  • CVE-2020-2830

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Des correctifs de sécurité sont disponibles pour NetApp E-Series Performance Analyzer et E-Series SANtricity OS Controller Software 11.x

Solution de contournement

  • Si un produit requiert JRE pour son fonctionnement, il est conseillé de mettre à jour JRE vers une version non vulnérable concordant avec les besoins du produit.

Liens