IBM corrige des vulnérabilités importantes dans ses produits

IBM a corrigé plusieurs vulnérabilités dans divers produits. L'exploitation de ces vulnérabilités permettrait la divulgation d'informations sensibles ou encore l'injection de commandes SQL. Les vulnérabilités sont référencées comme suit :

  • CVE-2018-1800 [CVSS 5.1] : L'édition standard d'IBM Sterling B2B Integrator pourrait permettre à un utilisateur local d'obtenir des informations hautement sensibles pendant une courte durée lors de l'installation. 
  • CVE-2018-1674 [CVSS 6.3] : IBM Business Process Manager est vulnérable à une injection SQL due à un manque de validation des entrées. Une injection réussie pourrait permettre à l'attaquant de lire, ajouter, modifier ou supprimer les informations contenues dans la base de données.
  • CVE non spécifié [CVSS 6.3] : IBM Data Science Experience Local implémente des algorithmes non sécurisés pour chiffrer les informations d'identification de source de données externes. Cette vulnérabilité pourrait permettre à un attaquant de lire ces informations.
Informations
+

Impacts

  • Injection de commandes SQL
  • Vol d'informations sensibles
  • Atteinte à la confidentialité
  • Atteinte à l'intégrité
  • Atteinte à la disponibilité

Criticité

  • CVSS v3 : 6.3 - CVSS de la vulnérabilité la plus critique

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • CVE-2018-1800
    • IBM Sterling B2B Integrator 5.2.6.0 - 5.2.6.3
  • CVE-2018-1674
    • IBM Business Process Manager version 8.5.0.0 à V8.5.0.2
    • IBM Business Process Manager version 8.5.5.0
    • IBM Business Process Manager version 8.5.6.0 à V8.5.6.0 CF2
    • Correctif cumulatif 2017.06 pour IBM Business Process Manager V8.5.7.0 à V8.5.7.0
    • Correctif cumulatif IBM Business Process Manager V8.6.0.0 à V8.6.0.0 2018.03
    • IBM Business Automation Workflow V18.0.0.0 à V18.0.0.1 (version 2018.07)
  • CVE Non spécifié
    • IBM Data Science Experience Local versions 1.1.1 - 1.1.0 - 1.1.2 - 1.1.3 - 1.2.0

CVE

  • CVE-2018-1800
  • CVE-2018-1674

Recommandations
+

Correctifs

  • Un correctif de sécurité a été publié par IBM corrigeant les vulnérabilités.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.