5/5 - (1 vote)

BULLETIN DE SÉCURITÉ IBM du 25 juin 2021

Découvertes de multiples vulnérabilités dans IBM Spectrum Protect.

Bulletin de sécurité IBM 6445483 du 25 juin 2021

Des vulnérabilités dans IBM Java Runtime affectent le client de sauvegarde-archivage IBM Spectrum Protect, IBM Spectrum Protect for Space Management et IBM Spectrum Protect for Virtual Environments (CVE-2020-27221, CVE-2020-14782) – (Sources)

CVE-2020-27221 – Eclipse OpenJ9 est vulnérable à un débordement de tampon basé sur la pile lorsque la machine virtuelle ou les natifs JNI convertissent des caractères UTF-8 en codage de plate-forme. En envoyant une chaîne trop longue, un attaquant distant pourrait déborder un tampon et exécuter du code arbitraire sur le système ou provoquer le plantage de l’application.

.

CVE-2020-14782 – Une vulnérabilité non spécifiée dans Java SE liée au composant Libraries pourrait permettre à un attaquant non authentifié de ne provoquer aucun impact sur la confidentialité, un impact faible sur l’intégrité et aucun impact sur la disponibilité.

Bulletin de sécurité IBM 6445497 du 25 juin 2021

Vulnérabilités de dépassement de mémoire tampon basées sur la pile dans IBM Spectrum Protect Back-up Archive Client et IBM Spectrum Protect for Space Management (CVE-2021-29672, CVE-2021-20546) – (Sources)

CVE-2021-29672 – Le client IBM Spectrum Protect est vulnérable à un débordement de tampon basé sur la pile, provoqué par une vérification incorrecte des limites lors du traitement des paramètres régionaux actuels. Un attaquant local pourrait faire déborder une mémoire tampon et exécuter du code arbitraire sur le système avec des privilèges élevés ou faire planter l’application.

CVE-2021-20546 – IBM Spectrum Protect Client est vulnérable à un débordement de mémoire tampon basé sur la pile, provoqué par une vérification incorrecte des limites. Un attaquant local pourrait faire déborder un tampon et provoquer le plantage de l’application.

Multiples vulnérabilités dans IBM Spectrum Protect

De multiples vulnérabilités ont été découvertes dans IBM Spectrum Protect. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service et une atteinte à l’intégrité des données. – (Sources)


Le code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible. Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


Une attaque par déni de service (Denial Of Service attack, d’où l’abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser. Il peut s’agir de la perturbation des connexions entre deux machines, empêchant l’accès à un service particulier, de l’inondation d’un réseau afin d’empêcher son fonctionnement, de l’obstruction d’accès à un service à une personne en particulier, également le fait d’envoyer des milliards d’octets à une box internet. L’attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un serveur web ou empêcher la distribution de courriel dans une entreprise. Ce mode d'attaque est largement utilisé par les pirates via des failles de sécurité "Zero Day" ou l'absence de mise à jour automatiques.


La confidentialité a été définie par l'Organisation internationale de normalisation comme « le fait de s'assurer que l'information n'est accessible qu'à ceux dont l'accès est autorisé », et est une des pierres angulaires de la sécurité de l'information. La confidentialité permet d'empêcher un accès non autorisé à des informations qui présentent un caractère sensible. Les intrusions dans les réseaux d'entreprise qui ne sont pas assez protégées, les négligences des personnes qui exposent des données non chiffrées, les niveaux insuffisants des contrôles d'accès sont autant de situations qui mettent en péril la confidentialité des données. De plus en plus de navigateurs, comme par exemple QWant et surtout Brave, se lancent dans une politique de confidentialité des données de navigation. Nul doute que l'utilisation d'un Réseau Privé Virtuel chiffré (VPN) et l'utilisation de données dans un cloud sécurisé améliorent la confidentialité et la sécurité des échanges. En juin 2023, la société Proton lance son extension de navigateur Proton Pass. Un gestionnaire de mots de passe sécurisé, gratuit et open source.

A propos de l'auteur

Retour en haut