IBM corrige plusieurs vulnérabilités critiques dans divers produits

IBM a publié 87 bulletins de sécurité sur ses produits, entre le 14 novembre et le 03 janvier. Parmi ceux-ci, 43 portent sur des vulnérabilités importantes, 4 sur des vulnérabilités modérées et 4 sur des vulnérabilités faibles.

Les différents bulletins corrigent notamment plusieurs vulnérabilités critiques dont IBM évalue le score CVSSv3 à plus de 9. Les trois plus critiques ont été référencées comme suit :

  • CVE-2018-16839 [CVSS 9.8] : Une vulnérabilité de type dépassement de tampon dans le logiciel curl qui permet du transfert de données grâce à des url. L'exploitation de cette vulnérabilité pourrait permettre de réaliser un déni de service. Cette faille est présente sur Event Streams.
  • CVE-2018-12120 [CVSS 9.8] : Une vulnérabilité sur la plateforme logicielle Node.js. Son exploitation pourrait permettre à un attaquant d’exécuter du code javascript à distance sur le système cible. Cette faille est présente sur le système d'exploitation IBM i.
  • CVE-2018-1002105 [CVSS 9.8] : Une vulnérabilité sur Kubernetes, une plateforme qui automatise l'exploitation des conteneurs Linux en facilitant notamment leur déploiement et la mise à l'échelle des applications en conteneur. L'exploitation de cette vulnérabilité est possible lorsque que celui-ci est configuré par défaut. Elle permettrait à un attaquant de gagner des privilèges administrateurs sur un système cible.

Parmi les autres vulnérabilités corrigées, la majorité porte sur les produits de protection des données Security Guardium et le logiciel de virtualisation PowerKVM.

Au total, ce sont 177 vulnérabilités qui ont été corrigées dans cette série de bulletins. Parmi elles, 55 avaient été rendues publiques entre 2011 et 2017.

Les vulnérabilités corrigées portent sur les gammes ou produits suivants :

  • Security Guardium (bcp)
  • Emptoris Strategic Supply Management
  • Tivoli
  • Rational
  • Financial Transaction Manager for Corporate Payment Services
  • AIX
  • Spectrum Control
  • MQ Appliance
  • Event Streams
  • PowerKVM (bcp)
  • WebSphere
  • DataPower Gateway
  • Lotus Protector
  • API Connect
  • MQ
  • Cloud Manager
  • Business Automation Workflow
  • Workflow Manager
  • Content Classification
  • Emptoris Contract Management
  • IBM i

Afin de mettre à jour les différents produits vulnérables, les utilisateurs sont invités à se référer aux bulletins de vulnérabilité IBM correspondants.