IBM corrige plusieurs vulnérabilités critiques dans divers produits

IBM a publié 35 bulletins de sécurité sur ses produits, du 4 au 7 mars 2019. Parmi ceux-ci, 7 vulnérabilités sont jugées de criticité élevée et 3 de criticité modérée d'après une évaluation réalisée par IBM.

Les différents bulletins corrigent notamment plusieurs vulnérabilités critiques dont IBM évalue le score CVSS à plus de 8. Sur ces vulnérabilités, 3 portent spécifiquement sur des produits développés par les équipes d'IBM : 

  • CVE-2018-1901 [CVSS 8.8], CVE-2018-1904 [CVSS 9.8] et CVE-2018-1926 [CVSS 8.8] : Ces 3 vulnérabilités affectent IBM WebSphere Application Server, elles permettraient à un attaquant d’effectuer une élévation de privilèges à distance, d’exécuter du code arbitraire Java à distance et effectuer du cross-site request forgery.

D'autres vulnérabilités ont été corrigées sur des dépendances des produits IBM, les plus critiques ont été référencées de la manière suivante :

  • CVE-2018-12547 [CVSS 9.8], CVE-2018-12549 [CVSS 9.8] : 2 vulnérabilités critiques affectant la bibliothèque IBM SDK Java Technology Edition par le biais de d’Eclipse OpenJ9. Elles pourraient permettre à un attaquant d’exécuter du code arbitraire.
  • CVE-2018-1139 [CVSS 8.1] et CVE-2018-10858 [CVSS 8.8] : 2 vulnérabilités dans le système de détection de menaces IBM QRadar SIEM. Un attaquant pourrait utiliser la première pour récupérer des mots de passe en effectuant une attaque homme du milieu et la deuxième pour de l’exécution de code arbitraire à l’aide d’un dépassement de tampon.
  • CVE-2018-2633 [CVSS 8.3]CVE-2018-2638 [CVSS 8.3]CVE-2018-2639 [CVSS 8.4] et CVE-2018-0705[CVSS 9.8] : IBM java Runtime affecte IBM InfoSphere Optim solutions and editions . Un attaquant pourrait prendre le contrôle de tout un environnement Java SE en utilisant une des trois premières vulnérabilités, effectuer un déni de service grâce à la dernière vulnérabilité.
  • CVE-2018-18311 [CVSS 9.8] et CVE-2018-0705 [CVSS 9.8] : 2 vulnérabilités permettant d’exécuter du code arbitraire à l’aide d’un dépassement de tampon sur l’outil de virtualisation PowerKVM utilisé par IBM.

Les autres vulnérabilités sont de plus faibles criticités ou concernent des dépendances utilisées dans plusieurs produits IBM. On y retrouve ainsi des vulnérabilités portant sur Red Hat, Eclipse OpenJ9, Java SE, Linux, Apache Tomcat, Serveur Samba, NTML, OpenSSL, PowerKVM ou encore PHP. Plusieurs d'entre elles avaient déjà été corrigées sur d'autres produits lors de précédents bulletins. Il est à noter que pour plusieurs de ces vulnérabilités, le score CVSS évalué par IBM est plus élevé que celui du NIST.

Enfin, plusieurs vulnérabilités avaient déjà été rendues publiques en 2016, 2017 et 2018 sur d'autres produits de différents éditeurs ou constructeurs et certains possèdent des codes d'exploitation publiquement disponibles.

Afin de mettre à jour les différents produits affectés, les utilisateurs sont invités à se référer aux bulletins de vulnérabilité IBM correspondants.

Informations
+

Risques

  • Exécution de code arbitraire.

Criticité

  • Score CVSS : 9.8

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d'exploitation n'a été publié avec le bulletin.

Composants & versions vulnérables

De manière générale, les vulnérabilités portent sur les produits suivants :

  • IBM WebSphere
  • IBM Cloud Kubernetes Service
  • IBM API Management
  • IBM Operational Decision Manager v8.6 à v8.10
  • IBM® SDK, Java™ Technology Edition
  • IBM Security Guardium
  • IBM QRadar SIEM
  • IBM Lotus Protector for Mail Security
  • IBM InfoSphere Optim solutions and editions
  • IBM API Connect
  • IBM Sterling Secure Proxy
  • IBM Watson Compare and Comply on IBM Cloud PrivateIBM Cloud Transformation Advisor
  • IBM Spectrum Scale Transparent Cloud Tiering
  • PowerKVM

CVE

  • CVE-2018-1901
  • CVE-2018-1904
  • CVE-2018-1926
  • CVE-2018-12547
  • CVE-2018-12549
  • CVE-2018-1139
  • CVE-2018-10858
  • CVE-2018-2633
  • CVE-2018-2638
  • CVE-2018-2639
  • CVE-2018-0705
  • CVE-2018-18311

Recommandations
+

Mise en place de correctif de sécurité

  • Les mises à jour sont disponibles pour les bulletins de sécurité correspondants.

Solution de contournement

  • Aucune solution de contournement n'a été publiée.