IBM corrige plusieurs vulnérabilités dans Netezza Host Management

IBM a corrigé plusieurs vulnérabilités dans son produit Netezza Host Management. Leur exploitation permettrait à un attaquant d'exécuter du code arbitraire ou encore de contourner le mécanisme d'authentification. Les vulnérabilités sont référencées comme suit :

  • CVE-2018-5740 [CVSS 7.5] : Une faille dans la fonctionnalité "deny-answer-aliases" du programme ISC BIND provoquant un déni de service;
  • CVE-2018-1000156 [CVSS 7.3] : Un défaut dans la validation des entrées du programme GNU Patch lors du traitement des fichiers de correctifs pourrait permettre à un attaquant d'utiliser la commande ed pour exécuter du code arbitraire sur le système;
  • CVE-2018-5146 [CVSS 8.8] : Une vulnérabilité dans la librairie libvorbis de type écriture mémoire hors limites pourrait être exploitée lors du traitement d'un fichier audio Vorbis. Elle pourrait permettre une exécution de code arbitraire ou un déni de service;
Informations
+

Risques

  • Exécution de code arbitraire
  • Contournement d'authentification
  • Déni de service

Criticité

  • CVSS v3 : 8.8 - score de la vulnérabilité la plus critique

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  •  IBM Netezza Host Management  5.4.5.0 - 5.4.20.0

CVE

  • CVE-2018-5740
  • CVE-2018-7750
  • CVE-2018-1000156
  • CVE-2018-5146

Recommandations
+

Correctifs

  • La vulnérabilité est corrigée à partir de la version 5.4.21

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.