IBM CORRIGE PLUSIEURS VULNÉRABILITÉS DANS NETEZZA HOST MANAGEMENT

cyber

IBM a corrigé plusieurs vulnérabilités dans son produit Netezza Host Management. Leur exploitation permettrait à un attaquant d’exécuter du code arbitraire ou encore de contourner le mécanisme d’authentification. Les vulnérabilités sont référencées comme suit :

  • CVE-2018-5740 [CVSS 7.5] : Une faille dans la fonctionnalité “deny-answer-aliases” du programme ISC BIND provoquant un déni de service;
  • CVE-2018-1000156 [CVSS 7.3] : Un défaut dans la validation des entrées du programme GNU Patch lors du traitement des fichiers de correctifs pourrait permettre à un attaquant d’utiliser la commande ed pour exécuter du code arbitraire sur le système;
  • CVE-2018-5146 [CVSS 8.8] : Une vulnérabilité dans la librairie libvorbis de type écriture mémoire hors limites pourrait être exploitée lors du traitement d’un fichier audio Vorbis. Elle pourrait permettre une exécution de code arbitraire ou un déni de service;

Risques

  • Exécution de code arbitraire
  • Contournement d’authentification
  • Déni de service

Criticité

  • CVSS v3 : 8.8 – score de la vulnérabilité la plus critique

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  •  IBM Netezza Host Management  5.4.5.0 – 5.4.20.0

CVE

  • CVE-2018-5740
  • CVE-2018-7750
  • CVE-2018-1000156
  • CVE-2018-5146

 

To read the original article:

https://www.cyberveille-sante.gouv.fr/cyberveille/992-ibm-corrige-plusieurs-vulnerabilites-dans-netezza-host-management-2018-09-28

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Next Post

Hackers Hijacked More Than 100,000 Routers DNS Settings and Redirecting Users to Malicious WebSites

Hackers hijacked 100,000+ Routers and modified their DNS settings to redirect their DNS requests through malicious DNS servers to steal banking credentials. The DNSChanger campaign named GhostDNS appears to be starting from September 20, 2018, and it grows significantly by adding a bunch of new scanners. The campaign attempts a brute […]