Multiples vulnérabilités dans IBM Tivoli

Date de publication :

JDBC (Java DataBase Connectivity) est une interface de programmation qui permet aux applications Java d’interagir avec des bases de données.

CVE-2022-26520[Score CVSS v3.1:9.8] (critique)
Une vulnérabilité dans Postgres JDBC permet à un attaquant, en modifiant les propriétés de connexion, de créer des fichiers arbitraires sur le système.

Référence IBM 220313[Score CVSS v3.1: 9.8] (critique)
Une exposition des propriétés de connexion pour paramétrer une connexion pgjdbc du driver PostgreSQL JDBC permet à un attaquant distant, en envoyant des propriétés de connexion spécifiquement forgées, d’obtenir un accès sur le système.

CVE-2022-21724[Score CVSS v3.1: 8.5]
Une absence de vérification de certaines classes de plugin dans le driver PostgreSQL JDBC permet à un attaquant, en envoyant des requêtes spécifiquement forgées via ces classes, d’exécuter du code arbitraire sur le système. Les classes « authenticationPluginClassName », « sslhostnameverifier », « socketFactory », « sslfactory » et « sslpasswordcallback » peuvent être utilisées pour mener l’attaque.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Création de fichiers
  • Contournement de la politique de sécurité
  • Exécution de code arbitraire

Criticité

  • Score CVSS v3.1: 9.8 (critique)

La faille est activement exploitée

  • Non, pour l’ensemble des CVE présentées.

Un correctif existe

  • Oui, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

  • Non, pour l’ensemble des CVE présentées.

La vulnérabilité exploitée est du type

CWE-552: Files or Directories Accessible to External Parties

  • Pour la Référence IBM 220313

CWE-278: Insecure Preserved Inherited Permissions

CWE-665: Improper Initialization

Détails sur l’exploitation

Pour la CVE-2022-28721 et la Référence IBM 220313

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-21724

  • Vecteur d’attaque : Physique.
  • Complexité de l’attaque : Élevée.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

  • IBM Tivoli Netcool Impact versions inférieures à 7.1.0.25

Solutions ou recommandations

  • Mettre à jour IBM Tivoli Netcool Impact vers la version 7.1.0.25 ou vers une version supérieure.

  • Voir ici pour télécharger la version 7.1.0.25.

  • Plus d’informations disponibles ici.

Liens