S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 20 décembre 2010
N° CERTA-2010-AVI-621
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans IBM Tivoli Storage Manager

Gestion du document

Référence CERTA-2010-AVI-621
Titre Vulnérabilités dans IBM Tivoli Storage Manager
Date de la première version20 décembre 2010
Date de la dernière version20 décembre 2010
Source(s) Bulletin de sécurité IBM swg21454745 du 14 décembre 2010

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Exécution de code arbitraire à distance
  • Élévation de privilèges

Systèmes affectés

IBM Tivoli Storage Manager 5.x et 6.x, sur plateforme Unix, Linux et MacOS.

Résumé

Des vulnérabilités présentes dans IBM Tivoli Storage Manager permettent à un utilisateur malveillant d'exécuter du code arbitraire à distance ou d'élever ses privilèges.

Description

Des vulnérabilités sont présentes dans IBM Tivoli Storage Manager :

  • un débordement de mémoire dans le module Trusted Communication Agent permet l'arrêt inopiné ou l'injection de code sur le client ;
  • le module de sauvegarde peut servir à un utilisateur malveillant pour remplacer des fichiers du système ;
  • le client HSM permet de réaliser de l'injection de scripts à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 20 décembre 2010
    version initiale.