IBM corrige plusieurs vulnérabilités critiques dans divers produits

IBM a publié 37 bulletins de sécurité sur ses produits, entre le 27 novembre et le 4 décembre. Parmi ceux-ci, 14 portent sur des vulnérabilités importantes, 21 sur des vulnérabilités modérées et 2 sur des vulnérabilités faibles. 

Les différents bulletins corrigent notamment plusieurs vulnérabilités importantes dont IBM évalue le score CVSSv3 à plus de 8. Les vulnérabilités spécifiques aux produits IBM sont les suivantes : 

  • CVE-2018-1897 [CVSS 8.4] : Une vulnérabilité présente sur le système de gestion de base de données Db2 (SGBD). Celui-ci présente une vulnérabilité de dépassement de tampon permettant à un attaquant d’exécuter du code arbitraire. L'exploitation de cette vulnérabilité nécessite déjà d'être authentifié sur le SGBD.
  • CVE-2018-1941 [CVSS 8.4] : Une vulnérabilité présente sur IBM Campaign, un logiciel de gestion de campagne commerciale. Celui-ci présente une faille dans sa politique de sécurité et de gestion des permissions et pourrait permettre à un attaquant d’élever ses privilèges et ainsi gagner les droits d'administration.

Huit vulnérabilités proviennent de dépendances de produits IBM. Elles sont référencées de la manière suivante : 

  • CVE-2017-16939 [CVSS 9.8] : Une vulnérabilité présente sur QRadar SIEM. Elle provient du noyau Linux sur lequel se base cette solution. Elle a pour origine une utilisation spécifique de la mémoire après sa libération, telle que définie dans la politique XFRM du noyau. Son exploitation permettrait à un attaquant d’élever ses privilèges sur le système. Une attaque de ce type passe par l'envoi d'une requête spécifique, celle-ci peut être réalisée à distance et ne nécessite pas de privilège.
  • CVE-2018-1068 [CVSS 8.1] : Une vulnérabilité présente sur QRadar SIEM provenant également du noyau Linux. Elle a pour origine une erreur dans un appel système utilisé pour réaliser un pont informatique. Son exploitation permettrait à un attaquant d’élever ses privilèges sur le système et devenir administrateur du système (utilisateur root). Une attaque de ce type nécessite de pouvoir exécuter du code sur le système mais reste complexe à mettre en œuvre.
  • CVE-2018-1087 [CVSS 8.4] : Une vulnérabilité présente sur QRadar SIEM provenant également du noyau Linux. Elle a pour origine l'hyperviseur KVM qui présente une faille dans sa gestion des exceptions lors de la mise en pile de commutateurs (stacking switch) via les instructions Mov SS et Pop SS. Son exploitation permettrait à un attaquant d’élever ses privilèges ou réaliser une attaque par déni de service et causer un arrêt du système.
  • CVE-2018-2964 [CVSS 8.3] : Une vulnérabilité présente sur Tivoli Monitoring. Cette-ci provient d'Oracle Java SE. Un attaquant pourrait l'exploiter afin de prendre contrôle du système cible. L'attaque est complexe à mettre en œuvre et nécessite l'interaction avec un utilisateur. Elle peut par ailleurs être réalisée à distance. Oracle n'a pas communiqué les détails techniques liés à cette vulnérabilité.
  • CVE-2018-12539 [CVSS 8.4] : Une vulnérabilité présente sur 14 produits. Elle a pour origine l'implémentation de la machine virtuelle Java Eclipse OpenJ9 qui est un composant important de l'IBM Developer Kit utilisé par ces produits. Un attaquant pourrait l'exploiter pour exécuter du code à distance sur la machine et élever ses privilèges. Une attaque de ce type est peu complexe à mettre en œuvre et ne nécessite ni privilège ni interaction avec un utilisateur.
  • CVE-2018-3149 [CVSS 8.3]CVE-2018-3169 [CVSS 8.3]CVE-2018-3183[CVSS 9] : Trois vulnérabilités sur le gestionnaire d'application Java Tivoli Composite Application Manager. Leur exploitation pourrait permettre à un attaquant d'obtenir le contrôle total du système. Elles ont pour origine la plateforme Java SE utilisée dans Tivoli. Ce sont des vulnérabilités exploitables à distance mais dont les attaques sont complexes à mettre en œuvre.

Le logiciel le plus mentionné dans cette série de bulletin est QRadar avec 12 bulletins, parmi ces bulletins on notera un correctif sur la présence de mot de passes et de clés cryptographique fixés dans le code, utilisés notamment lors du chiffrement des données internes au logiciel. Cette vulnérabilité est néanmoins indiquée comme étant de criticité moyenne.

Au total, ce sont 78 vulnérabilités qui ont été corrigées dans cette série de bulletins. Parmi elles, 7 avaient été rendues publiques entre 2014 et 2017. Afin de mettre à jour les différents produits vulnérables, les utilisateurs sont invités à se référer aux bulletins de vulnérabilité IBM correspondants.

Informations
+

Risques

  • Elévation de privilèges

Criticité

  • Score CVSS : 9.8

Existence d’un code d’exploitation de la vulnérabilité

  • Un code d'exploitation est disponible pour la vulnérabilité CVE-2017-16939.

Composants & versions vulnérables

Les vulnérabilités corrigées portent sur les produits suivants :

  • Maximo Asset Management
  • Rational Developer
  • IBM Spectrum Scale
  • Cloud App Management
  • WebSphere Service Registry and Repository
  • WebSphere Portal
  • Workload Scheduler Distributed
  • Power System
  • Rational
  • Elastic Storage Server
  • WebSphere Application Server
  • Tivoli Monitoring
  • Tivoli Composite Application Manager
  • StoredIQ
  • Db2
  • Financial Transaction Manager
  • SONAS
  • QRadar Incident Forensics
  • QRadar SIEM
  • QRadar Advisor with Watson
  • Maximo Asset Management
  • Campaign
  • Transparent Cloud Tiering

CVE

  • CVE-2018-1897
  • CVE-2018-1941
  • CVE-2017-16939
  • CVE-2018-1068
  • CVE-2018-1087
  • CVE-2018-2964
  • CVE-2018-12539
  • CVE-2018-3149
  • CVE-2018-3169
  • CVE-2018-318

Recommandations
+

Mise en place de correctif de sécurité

  • Des correctifs de sécurité ont été publiés par IBM pour l'ensemble des vulnérabilités.

Solution de contournement

  • Aucune solution de contournement n'a été proposée.