IBM corrige plusieurs vulnérabilités critiques dans divers produits

Date de publication :

IBM a publié 38 bulletins de sécurité sur ses produits, entre le 04 et le 17 janvier. Parmi ceux-ci, 12 portent sur des vulnérabilités importantes, 24 sur des vulnérabilités modérées et 2 sur des vulnérabilités faibles.

Parmi les vulnérabilités importantes identifiées, certaines spécifiques aux produits IBM ont été identifiées de la manière suivante :

  • CVE-2018-1904 [CVSS v3 9.8] : Une vulnérabilité présente sur IBM WebSphere Application Server, une suite logicielle permettant de déployer des applications Web Java. Un attaquant pourrait l'exploiter pour exécuter du code arbitraire Java sur le serveur. Cette attaque est complexe à mettre en œuvre mais ne nécessite ni privilège, ni interaction avec un utilisateur.
  • CVE-2018-1969 [CVSS v3 9.9]  : Une vulnérabilité présente sur IBM Security Identity Manager, une solution logicielle permettant de mettre en place des politiques de gestion des identités et accès. Celle-ci permet à un attaquant de transférer de manière arbitraire des fichiers sur le serveur et d'automatiquement exécuter le code qu'ils contiennent. L'exploitation est simple, peut être réalisée à distance et sans privilège. En revanche, l'interaction avec un utilisateur est requise.

D'autres vulnérabilités ont été corrigées sur des dépendances des produits IBM, les plus critiques ont été référencées de la manière suivante :

  • CVE-2018-12539 [CVSS v3 7.8] : Une vulnérabilité a pour origine l'implémentation de la machine virtuelle Java Eclipse OpenJ9 qui est un composant important de l'IBM Developer Kit utilisé par ces produits. Un attaquant pourrait l'exploiter pour exécuter du code arbitraire à distance sur la machine et élever ses privilèges. Une attaque de ce type est peu complexe à mettre en œuvre et ne nécessite ni privilège ni interaction avec un utilisateur.
  • CVE-2018-2633 [CVSS v3 8.3] : Une vulnérabilité présente dans JavaSE et JRockit (une implémentation de la machine virtuelle Java). L'exploitation permettrait à un attaquant de sortir de environnement en bac à sable de la machine virtuelle Java ou d'en détourner son fonctionnement afin d’exécuter du code arbitraire. Une attaque de ce type est néanmoins complexe à mettre en œuvre mais elle peut être réalisée à distance.

De manière générale, plusieurs des vulnérabilités corrigées dans cette série de bulletin ont pour origine des correctifs apportés par Oracle lors de ses Critical Patch Update, dont la dernière a été publiée le 15 janvier.

    Afin de mettre à jour les différents produits vulnérables, les utilisateurs sont invités à se référer aux bulletins de vulnérabilité IBM correspondants.

    Informations

    La faille est activement exploitée :

    Un correctif existe :

    Une mesure de contournement existe :

    Risques

    Risques

    • Elévation de privilège ;
    • Exécution de code arbitraire.

    Criticité

    • Score CVSS : 9.9

    Existence d’un code d’exploitation de la vulnérabilité

    • Aucun code d'exploitation n'a été publié.

    Composants & versions vulnérables

    Les vulnérabilités corrigées portent sur les gammes ou produits suivants :

    • FileNet Content Manager
    • Integration Bus
    • B2B Advanced Communications
    • Worklight
    • Netcool Agile Service Manager
    • Cloud Private
    • Rational Asset Analyzer
    • WebSphere Application Server
    • Sterling External Authentication Server
    • Rational Business Developer
    • SPSS Analytic Server
    • Security Identity Manager
    • Tivoli
    • Security Guardium
    • Rational Functional Tester
    • IBM i
    • Content Navigator

    CVE

    • CVE-2018-1904
    • CVE-2018-1969
    • CVE-2018-12539
    • CVE-2018-2633

    Solutions ou recommandations

    Mise en place de correctif de sécurité

    • Les liens vers les correctifs sont listés dans chaque bulletin individuellement.

    Solution de contournement

    • Aucune solution de contournement n'a été publié.

    Liens