IBM corrige plusieurs vulnérabilités importantes dans divers produits

IBM a publié 20 bulletins de sécurité sur ses produits, entre le 21 et le 26 novembre. Parmi ceux-ci, 10 portent sur des vulnérabilités importantes, 7 sur des vulnérabilités modérées et 3 sur des vulnérabilités faibles.

Les différents bulletins corrigent notamment plusieurs vulnérabilités importantes dont IBM évalue le score CVSSv3 à plus de 8. Ces vulnérabilités sont référencées de la manière suivante :

  • CVE-2018-1567 [CVSS 9.8] : une vulnérabilité présente sur WebSphere Application Server. Son exploitation permettrait à un attaquant d’exécuter du code Java à distance grâce à un connecteur utilisant le protocole SOAP. Cela est dû à un manque de contrôle sur les objets déserialisés reçus de sources non sûres. L'attaque est peu complexe à mettre en oeuvre et ne nécessite ni privilège ni interaction avec un utilisateur. Cette faille est spécifique aux produits IBM.
  • CVE-2018-2964 [CVSS : 8.3] : une vulnérabilité présente sur IBM App Connect Entreprise, WebSphere Message Broker et Security Guardium Data Redaction. Cette vulnérabilité provient d'Oracle Java SE. Un attaquant pourrait l'exploiter afin de prendre contrôle du système cible. L'attaque est complexe à mettre en œuvre et nécessite l'interaction avec un utilisateur. Elle peut être réalisée à distance. Oracle n'a pas communiqué les détails techniques liés à cette vulnérabilité.
  • CVE-2018-12115 [CVSS 8.2] : une vulnérabilité présente sur Integration Bus et App Connect Entreprise. Cette vulnérabilité provient de la plateforme logicielle node.js utilisée par ces deux produits. Un attaquant pourrait l'exploiter afin de provoquer un déni de service. Une attaque de ce type est peu complexe à mettre en œuvre et ne nécessite ni privilège ni interaction avec un utilisateur. Elle n'aurait aucun impact sur la confidentialité et un impact faible sur l'intégrité des données.
  • CVE-2018-12539 [CVSS 8.4] : une vulnérabilité présente sur Spectrum Protect Snapshot et Security Guardium Redaction. Elle a pour origine l'implémentation de la machine virtuelle Java Eclipse OpenJ9 qui est un composant important de l'IBM Developer Kit utilisé par ces produits. Un attaquant pourrait l'exploiter pour exécuter du code à distance sur la machine et élever ses privilèges. Une attaque de ce type est peu complexe à mettre en œuvre et ne nécessite ni privilèges ni interaction avec un utilisateur.
  • CVE-2017-7525CVE-2017-15095 et CVE-2017-17485 [CVSS 9.8] : des vulnérabilités présentes sur des produits de la gamme Rational ou Jazz technology. Elles ont pour origine la bibliothèque Java Jackson-databind. Leur exploitation pourrait permettre à un attaquant d’exécuter du code à distance sur le système.

Au total, ce sont 49 vulnérabilités qui ont été corrigées dans cette série de bulletins. Parmi elles, 12 avaient été rendues publiques en 2014, 2016 et 2017. Cependant, aucun code d'exploitation n'est disponible pour les 49 vulnérabilités.

Les vulnérabilités corrigées portent sur les produits suivants :

  • App Connect
  • Integration Bus
  • WebSphere Message Broker
  • WebSphere Application Server
  • Collaborative Lifecycle Management
  • Rational DOORS Next Generation
  • Rational Engineering Lifecycle Manager
  • Rational Team Concert
  • Rational Quality Manager
  • Rational Rhapsody Design Manager
  • Rational Software Architect Design Manager
  • Rational Build Forge
  • Tivoli Application Dependency Discovery Manager
  • Security Guardium Data Redaction
  • Decision Optimization Center
  • ILOG CPLEX Optimization Studio
  • WebSphere MQ V5.3 for HP NonStop Server
  • Connect:Direct Browser User Interface
  • Application Delivery Intelligence
  • Spectrum Protect Snapshot
  • Storwize V7000 Unified

Afin de mettre à jour les différents produits vulnérables, les utilisateurs sont invités à se référer aux bulletins de vulnérabilité IBM correspondants.