Une vulnérabilité de haute gravité a été découverte dans les produits IBM. Elle peut permettre à un attaquant authentifié d’obtenir des informations sensibles et provoquer un déni de service.

La faille, nommée CVE-2021-29873 et ayant un score de 8.8 sur 10, est un échappement d'un shell restreint qui affecte les produits listé ci-dessous lorsqu'ils exécutent les versions 7.8 à 8.4 prises en charge (sauf 8.4.2.0 et versions ultérieures) :

· Contrôleur de volume IBM SAN ;

· IBM Storwize V7000 ;

· IBM Storwize V5000 ;

· IBM Storwize V5100 ;

· IBM Storwize V3700 ;

· IBM Storwize V3500 ;

· IBM FlashSystem V9000 ;

· Famille IBM FlashSystem 9100 ;

· IBM FlashSystem 9200 ;

· IBM FlashSystem 7200 ;

· IBM FlashSystem 5200 ;

· IBM FlashSystem 5000 ;

· Logiciel IBM Spectrum Virtualize ;

· IBM Spectrum Virtualize pour le Cloud public.

Pour corriger la vulnérabilité, les utilisateurs des différents produits concernés sont invités à mettre à niveau les versions concernées.

De plus, l’attaquant doit être authentifié en tant qu'utilisateur du système pour exploiter cette vulnérabilité, donc IBM recommande de configurer uniquement des utilisateurs de confiance avec des privilèges d'administrateur.