0
1
Read Time1 Minute, 31 Second
IBM a corrigé plusieurs vulnérabilités concernant la plateforme WebSphere. L’exploitation de ces vulnérabilités permettrait la divulgation d’informations sensibles, notamment les mots de passe et ce via des attaques par canal auxiliaire ou de contournement de chiffrement, et de provoquer un déni de service.
Les vulnérabilités les plus importantes sont référencées comme suit :
- CVE-2018-1388 [CVSS 9.1] : Une vulnérabilité de type attaque par canal auxiliaire dans GSKit (Global Security Kit) V7 pouvant permettre une divulgation d’informations. Cette vulnérabilité est due à l’existence de divergences entre le traitement de remplissage (padding) PKCS#1 valides et invalides.
- CVE-2018-1428 [CVSS 6.2] : Les algorithmes de chiffrement utilisés par IBM GSKit sont faibles permettant une divulgation d’informations
Les autres vulnérabilités sont de criticité faibles ou modérées et sont dues à l’utilisation d’OpenSSL.
Risques
- Divulgation d’informations
- Déni de service
Criticité
- CVSS v3 : 9.1 (Score de la vulnérabilité la plus critique)
Existence d’un code d’exploitation de la vulnérabilité
- Non, aucun code permettant l’exploitation des vulnérabilités n’est connu publiquement à ce jour.
Composants & versions vulnérables
- IBM DataPower Gateway 7.1.0.0 – 7.1.0.23, 7.2.0.0 – 7.2.0.21, 7.5.0.0 – 7.5.0.16, 7.5.1.0 – 7.5.1.15, 7.5.2.0 – 7.5.2.15, 7.6.0.0 – 7.6.0.8
- IBM DataPower Gateway CD 7.7.0.0 – 7.7.1.1
CVE
- CVE-2018-1447
- CVE-2018-1388
- CVE-2016-0702
- CVE-2016-0705
- CVE-2017-3732
- CVE-2017-3736
- CVE-2018-1428
- CVE-2018-0732
- CVE-2018-0737
Correctifs
- Un correctif de sécurité a été publié par IBM.
Solution de contournement
- Il n’existe pas actuellement de solution de contournement.
Pour en savoir plus:https://www-01.ibm.com/support/docview.wss?uid=ibm10726039
Happy
0 %
Sad
0 %
Excited
0 %
Sleepy
0 %
Angry
0 %
Surprise
100 %
