IBM corrige plusieurs vulnérabilités critiques dans divers produits

Date de publication :

IBM a publié 87 bulletins de sécurité sur ses produits, entre le 14 novembre et le 03 janvier. Parmi ceux-ci, 43 portent sur des vulnérabilités importantes, 4 sur des vulnérabilités modérées et 4 sur des vulnérabilités faibles.

Les différents bulletins corrigent notamment plusieurs vulnérabilités critiques dont IBM évalue le score CVSSv3 à plus de 9. Les trois plus critiques ont été référencées comme suit :

    CVE-2018-16839 [CVSS v3 9.8] :Une vulnérabilité de type dépassement de tampon dans le logiciel curl qui permet du transfert de données grâce à des url. L'exploitation de cette vulnérabilité pourrait permettre de réaliser un déni de service. Cette faille est présente sur Event Streams.
    CVE-2018-12120 [CVSS v3 9.8] : Une vulnérabilité sur la plateforme logicielle Node.js. Son exploitation pourrait permettre à un attaquant d’exécuter du code javascript à distance sur le système cible. Cette faille est présente sur le système d'exploitation IBM i.
    CVE-2018-1002105 [CVSS v3 9.8] : Une vulnérabilité sur Kubernetes, une plateforme qui automatise l'exploitation des conteneurs Linux en facilitant notamment leur déploiement et la mise à l'échelle des applications en conteneur. L'exploitation de cette vulnérabilité est possible lorsque que celui-ci est configuré par défaut. Elle permettrait à un attaquant de gagner des privilèges administrateurs sur un système cible.

Parmi les autres vulnérabilités corrigées, la majorité porte sur les produits de protection des données Security Guardium et le logiciel de virtualisation PowerKVM.

Au total, ce sont 177 vulnérabilités qui ont été corrigées dans cette série de bulletins. Parmi elles, 55 avaient été rendues publiques entre 2011 et 2017.

Les vulnérabilités corrigées portent sur les gammes ou produits suivants :

    Security Guardium (bcp)
    Emptoris Strategic Supply Management
    Tivoli
    Rational
    Financial Transaction Manager for Corporate Payment Services
    AIX
    Spectrum Control
    MQ Appliance
    Event Streams
    PowerKVM (bcp)
    WebSphere
    DataPower Gateway
    Lotus Protector
    API Connect
    MQ
    Cloud Manager
    Business Automation Workflow
    Workflow Manager
    Content Classification
    Emptoris Contract Management
    IBM i

Afin de mettre à jour les différents produits vulnérables, les utilisateurs sont invités à se référer aux bulletins de vulnérabilité IBM correspondants.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Liens