IBM corrige une vulnérabilité induisant un déni de service dans IBM SAN Volume controller, IBM Storwize et IBM FlashSystem

Une vulnérabilité de déni de service affecte le composant OpenSSH des produits "IBM SAN Volume Controller", "IBM Storwize" et "IBM FlashSystem".

Cette vulnérabilité est due à une tentative d'accès, via un pointeur NULL, à un espace mémoire non-alloué, ce qui entraîne le plantage de l'application, lorsqu'un message du type SSH2_MSG_NEWKEYS est envoyé au serveur.

Un attaquant distant, sans privilèges spécifiques, et sans compétences particulières, pourrait exploiter cette vulnérabilité sans interaction d'un utilisateur sur la machine cible.

Informations
+

Impact

  • Déni de service

Criticité

  • CVSS v3 : 5.3

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

Les produits sont vulnérables quand ils exécutent la version 7.5

  • IBM SAN Volume Controller
  • IBM Storwize V7000
  • IBM Storwize V5000
  • IBM Storwize V3700
  • IBM Storwize V3500
  • IBM FlashSystem V9000

CVE

  • CVE-2016-10708

Recommandations
+

Correctifs

  • Un patch de sécurité a été publié par IBM corrigeant la vulnérabilité.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.