IBM corrige des vulnérabilités importantes dans le micrologiciel d'IBM RackSwitch

Des vulnérabilités importantes dans la librairie "libxml2" ont été corrigées dans le micrologiciel des produits IBM RackSwitch. L'exploitation réussie de ces vulnérabilités permettrait de provoquer un déni de service ou d'exécuter du code arbitraire sur les systèmes cibles.

  • CVE-2017-5130 [CVSS 6.3] : une vulnérabilité de type débordement de tas a été identifiée dans Google Chrome. Les vérifications effectuées par libxml2 sont insuffisantes. En faisant visiter à ses victimes un site Web malicieux, un attaquant distant pourrait provoquer un débordement tas et ainsi exécuter du code arbitraire sur le système ou entraîner l'arrêt inopiné de l'application;
  • CVE-2017-16932 [CVSS 7.5] : une vulnérabilité due à une mauvaise vérification des arguments d'une fonction dans Xmlsoft libxml2 pourrait provoquer un déni de service. En envoyant une requête malicieuse, un attaquant distant pourrait saturer la mémoire vive disponible sur le système;
  • CVE-2017-15412, CVE-2016-5131 [CVSS 6.3] : une vulnérabilité d'utilisation de mémoire après sa libération (use-after-free) a été identifié dans la librairie libxml2 utilisée Google Chrome. En faisant visiter à ses victimes un site Web malicieux, un attaquant distant pourrait exécuter du code arbitraire sur le système ou entraîner un déni de service.
Informations
+

Risques

  • Exécution de code arbitraire
  • Atteinte à la disponibilité

Criticité

  • CVSS v3 : 7.5 (CVSS de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • IBM RackSwitch G8052 v7.9, v7.11 - G8124/G8124E v7.9, v7.11 - G8264 v7.9, v7.11 - G8264CS v7.8 - G8264T v7.9 - G8316 v7.9 - G8332 v7.7

CVE

  • CVE-2017-5130
  • CVE-2017-16932
  • CVE-2017-15412
  • CVE-2016-5131

Recommandations
+

Correctifs

  • Des correctifs ont été publiés par IBM.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.