La solution IBM API Connect affectée suite à des vulnérabilités PHP

Date de publication :

IBM a publié un bulletin de sécurité, portant sur différentes versions de son produit IBM API Connect, suite à des vulnérabilités PHP. Parmi les vulnérabilités corrigées, 3 sont considérées comme critiques et une comme étant moyenne.

L'impact sur la disponibilité, l'intégrité et la confidentialité des données est élevé. En effet, l'exploitation des vulnérabilités critiques peut être réalisée à distance, ne nécessite ni privilège, ni interaction avec un utilisateur et se révèle simple à mettre en œuvre.

Dans ce bulletin de sécurité, les vulnérabilités PHP affectent les produits suivants :

  • IBM API Connect version 5.0.0.0-5.0.8.5
  • IBM API Connect version 2018.1-2018.4.1.3

Aucune des vulnérabilités identifiées n'a été exploitée.

Détails Techniques :

Les vulnérabilités les plus critiques ont été référencées comme suit :

  • CVE-2019-9638 [CVSS V3 7.5] : Une vulnérabilité a été découverte dans le composant EXIF de PHP, des versions antérieures à 7.1.27, des versions 7.2.x antérieures à 7.2.16 et des versions 7.3.x antérieures à 7.3.3. Cette vulnérabilité est causée par une mauvaise gestion du paramètre "marker_note"  et de la variable "value_len" provoquant une lecture non initialisée dans la méthode PHP "exif_process_IFD_in_MAKERNOTE". Cette vulnérabilité PHP pourrait permettre à un attaquant connecté à distance d'exécuter du code arbitraire sur le système.
  • CVE-2019-9639 [CVSS V3 7.5] : Une vulnérabilité a été découverte dans le composant EXIF de PHP, des versions antérieures à 7.1.27, des versions 7.2.x antérieures à 7.2.16 et des versions 7.3.x antérieures à 7.3.3. Cette vulnérabilité est causée par une mauvaise gestion de la variable "data_len" provoquant une lecture non initialisée dans la méthode PHP "exif_process_IFD_in_MAKERNOTE". L'exploitation de cette vulnérabilité PHP pourrait permettre à un attaquant connecté à distance d'exécuter du code arbitraire sur le système.
  • CVE-2019-9641 [CVSS V3 9.8] : Une vulnérabilité a été découverte dans le composant EXIF de PHP, des versions antérieures à 7.1.27, des versions 7.2.x antérieures à 7.2.16 et des versions 7.3.x antérieures à 7.3.3. Cette vulnérabilité est causée par une lecture non initialisée de la méthode PHP "exif_process_IFD_in_TIFF". Cette vulnérabilité PHP pourrait permettre à un attaquant connecté à distance d'exécuter du code arbitraire sur le système.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Atteinte à la confidentialité des données
  • Déni de service
  • Modification des paramètres

Criticité

  • Score CVSS : 9.80

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d'exploitation n'est publiquement disponible pour les vulnérabilités identifiées.

Composants & versions vulnérables

  • IBM API Connect version 5.0.0.0-5.0.8.5
  • IBM API Connect version 2018.1-2018.4.1.3

CVE

  • CVE-2019-9638 [CVSS V3 7.5]
  • CVE-2019-9639 [CVSS V3 7.5]
  • CVE-2019-9641 [CVSS V3 9.8]

Solutions ou recommandations

Mise en place de correctif de sécurité

IBM a publié des mises à jour pour chacun des produits mentionnés dans le bulletin de sécurité.

Solution de contournement

Aucune solution de contournement n'a été proposée pour les vulnérabilités identifiées.

Liens