0
1
Read Time2 Minute, 14 Second
IBM a publié 35 bulletins de sécurité sur ses produits, entre le 19 et le 26 octobre. Parmi ceux-ci, 18 sont jugées élevées, 16 modérées et 1 faible.
Parmi les vulnérabilités corrigées les plus critiques, aucune n’est spécifique aux produits IBM. Celles-ci sont référencées de la manière suivante :
- CVE-2018-16741 [CVSS 9.8] : Une vulnérabilité dans le programme Mgetty sur les produits Vyatta 5600 vRouter. Ce programme prend en charge la gestion des modems sur les systèmes Unix. Les modules faxq et faxq-helper ne vérifient pas suffisamment les entrées, notamment les caractères shell. Un attaquant pourrait donc exploiter cette vulnérabilité pour réaliser de l’injection de commandes.
- CVE-2018-14618 [CVSS 9.8] : Une vulnérabilité dans la librairie cURL utilisée par les produits Vyatta 5600 vRouter. Celle-ci ne gère pas correctement le protocole d’identification NTLM : si le programme reçoit un mot de passe trop long (supérieur à 2GB) cela provoque un dépassement de tampon. Un attaquant pourrait l’exploiter pour exécuter du code à distance.
- CVE-2017-7525 [CVSS 9.8] : Une vulnérabilité dans le processus de désérialisation du moteur de base de données, qui pourrait permettre à un utilisateur non authentifié d’exécuter du code en envoyant une entrée spécialement construite à la méthode « readValue » de « l’Object Mapper ».
- CVE-2018-2633 [CVSS 8.3] et CVE-2018-2964 [CVSS 8.3] : Des vulnérabilités dans JavaSE. Un attaquant disposant d’un accès réseau via de multiples protocoles pourrait compromettre la machine virtuelle Java. Ces vulnérabilités peuvent être exploitées même si le processus tourne dans un bac à sable et permettraient à un attaquant de s’en échapper.
Pour ces vulnérabilités critiques, hormis la CVE-2017-7525, aucun code d’exploitation n’est publiquement disponible.
Les vulnérabilités corrigées portent sur les produits suivants :
- Logiciel Vyatta 5600 vRouter
- IBM Team Concert
- IBM WebSphere Application Server
- Le système d’exploitation AIX
- IBM PureApplication
- IBM Spectrum Symphony.
- IBM Spectrum Control
- Rational DOORS Web Access
- IBM Storwize V7000 Unified
- IBM Security Access Manager
- IBM WebSphere Commerce Enterprise, Professional et Developer
- IBM RackSwitch
- IBM Flex System
- IBM API Connect
- IBM Business Automation Workflow
- IBM Business Process Manager
- WebSphere Lombardi
- IBM MessageSight
- Rational Directory Server
- Rational Directory Administrator
- IBM Security Guardium
- IBM TRIRIGA
- IBM Storwize V7000 Unified
- IBM InfoSphere Master Data Management – Collaborative Edition
- Rational Design Manager
- IBM BladeCenter Switch Modules
- IBM Integrated Management Module II
- IBM Netezza Analytics
- IBM Tivoli Composite Application Manager for Transactions
- IBM BigFix Remote Control
Afin de mettre à jour les différents produits vulnérables, les utilisateurs sont invités à se référer aux bulletins de vulnérabilité IBM correspondants
To read the original article:
Happy
0 %
Sad
0 %
Excited
0 %
Sleepy
0 %
Angry
0 %
Surprise
100 %
