La solution IBM Tivoli Monitoring affectée suite à des vulnérabilités

IBM a publié un bulletin de sécurité, portant sur différentes versions de son produit IBM Tivoli Monitoring, suite à des vulnérabilités sur IBM WebSphere Application Server. Parmi les vulnérabilités corrigées, 1 est considérée comme importante, 1 comme moyenne et la dernière comme étant mineure.

L'impact de la vulnérabilité importante sur la disponibilité, l'intégrité et la confidentialité des données est élevé. En effet, l'exploitation de la vulnérabilité la plus importante peut être réalisée à distance, ne nécessite ni privilège, ni interaction avec un utilisateur et se révèle simple à mettre en œuvre.

Dans ce bulletin de sécurité, les vulnérabilités identifiées affectent les produits suivants :

  • IBM Tivoli Monitoring versions 6.3.0 à 6.3.0 FP7
  • IBM Tivoli Monitoring versions 6.2.3 à 6.2.3 FP5

Aucune des vulnérabilités identifiées n'a été exploitée.

Détails Techniques :

La vulnérabilité importante est référencée comme suit :

  • CVE-2019-9638 [CVSS V3 8.1] : Une vulnérabilité sur IBM WebSphere Application Server pourrait permettre à un attaquant connecté à distance d'exécuter du code arbitraire Java via une classe client administrative à partir d'un objet sérialisé provenant de sources non fiables.
Informations
+

Risques

  • Atteinte à la confidentialité des données
  • Déni de service
  • Modification des paramètres

Criticité

  • Score CVSS : 8.1

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d'exploitation n'est publiquement disponible pour les vulnérabilités identifiées.

Composants & versions vulnérables

  • IBM Tivoli Monitoring versions 6.3.0 à 6.3.0 FP7
  • IBM Tivoli Monitoring versions 6.2.3 à 6.2.3 FP5

CVE

  • CVE-2018-1904 [CVSS v3 7.5]
  • CVE-2018-1996
  • CVE-2018-1902

Recommandations
+

Mise en place de correctif de sécurité

IBM a publié des mises à jour pour chacun des produits mentionnés dans le bulletin de sécurité.

Solution de contournement

Aucune solution de contournement n'a été proposée pour les vulnérabilités identifiées.