Multiples vulnérabilités dans IBM Watson
Date de publication :
IBM a publié un bulletin annonçant la correction de plusieurs vulnérabilités dans IBM Watson et liées à Open JDK11. Ces vulnérabilités peuvent être exploitées par un attaquant distant et avoir différents impacts, le plus sévère étant l’exécution de code à distance.
CVE-2020-2816[Score CVSS v3 : 7.5] : Une vulnérabilité non spécifiée dans Oracle Java SE liée au composant Java SE JSSE pourrait permettre à un attaquant non authentifié de causer un impact sur l’intégrité du système.
CVE-2020-2805[Score CVSS v3 : 8.3] : Une vulnérabilité non spécifiée dans Java SE liée au composant Java SE Libraries pourrait permettre à un attaquant non authentifié de prendre le contrôle du système.
CVE-2020-2803[Score CVSS v3 : 8.3] : Une vulnérabilité non spécifiée dans plusieurs produits Oracle pourrait permettre à un attaquant non authentifié de prendre le contrôle du système.
CVE-2020-2604[Score CVSS v3 : 8.1] : Une vulnérabilité non spécifiée dans Java SE pourrait permettre à un attaquant non authentifié de prendre le contrôle du système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code à distance
- Impacts faibles sur l’intégrité, la confidentialité et la disponibilité du système
Criticité
- Score CVSS v3 : 7.5 et 8.3
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à ce jour
Composants vulnérables
- Toutes les versions de Watson Machine Learning Service
CVE
- CVE-2020-2816
- CVE-2020-2805
- CVE-2020-2803
- CVE-2020-2604
Solutions ou recommandations
Mise en place de correctifs de sécurité
Il est conseillé par IBM de créer de nouveaux modèles et déploiements AutoAI s’ils ont été créé avant le 1er août 2020
Solution de contournement
Aucune solution de contournement n’est disponible