IBM corrige plusieurs vulnérabilités critiques dans divers produits

IBM a publié 35 bulletins de sécurité sur ses produits, du 4 au 7 mars 2019. Parmi ceux-ci, 7 vulnérabilités sont jugées de criticité élevée et 3 de criticité modérée d'après une évaluation réalisée par IBM.

Les différents bulletins corrigent notamment plusieurs vulnérabilités critiques dont IBM évalue le score CVSS à plus de 8. Sur ces vulnérabilités, 3 portent spécifiquement sur des produits développés par les équipes d'IBM : 

CVE-2018-1901 [CVSS v3 8.8], CVE-2018-1904 [CVSS v3 9.8] et CVE-2018-1926 [CVSS v3 8.8]  : Ces 3 vulnérabilités affectent IBM WebSphere Application Server, elles permettraient à un attaquant d’effectuer une élévation de privilèges à distance, d’exécuter du code arbitraire Java à distance et effectuer du cross-site request forgery.

D'autres vulnérabilités ont été corrigées sur des dépendances des produits IBM, les plus critiques ont été référencées de la manière suivante :

CVE-2018-12547 [CVSS v3 9.8], CVE-2018-12549 [CVSS v3 9.8] : 2 vulnérabilités critiques affectant la bibliothèque IBM SDK Java Technology Edition par le biais de d’Eclipse OpenJ9. Elles pourraient permettre à un attaquant d’exécuter du code arbitraire.
CVE-2018-1139 [CVSS v3 8.1] et CVE-2018-10858 [CVSS v3 8.8] : 2 vulnérabilités dans le système de détection de menaces IBM QRadar SIEM. Un attaquant pourrait utiliser la première pour récupérer des mots de passe en effectuant une attaque homme du milieu et la deuxième pour de l’exécution de code arbitraire à l’aide d’un dépassement de tampon.
CVE-2018-2633 [CVSS v3 8.3], CVE-2018-2638 [CVSS v3 8.3],CVE-2018-2639 [CVSS v3 8.4] et CVE-2018-0705 [CVSS v3 9.8] : IBM java Runtime affecte IBM InfoSphere Optim solutions and editions . Un attaquant pourrait prendre le contrôle de tout un environnement Java SE en utilisant une des trois premières vulnérabilités, effectuer un déni de service grâce à la dernière vulnérabilité.
CVE-2018-18311 [CVSS v3 9.8] et CVE-2018-0705 [CVSS v3 9.8] : 2 vulnérabilités permettant d’exécuter du code arbitraire à l’aide d’un dépassement de tampon sur l’outil de virtualisation PowerKVM utilisé par IBM.

Les autres vulnérabilités sont de plus faibles criticités ou concernent des dépendances utilisées dans plusieurs produits IBM. On y retrouve ainsi des vulnérabilités portant sur Red Hat, Eclipse OpenJ9, Java SE, Linux, Apache Tomcat, Serveur Samba, NTML, OpenSSL, PowerKVM ou encore PHP. Plusieurs d'entre elles avaient déjà été corrigées sur d'autres produits lors de précédents bulletins. Il est à noter que pour plusieurs de ces vulnérabilités, le score CVSS évalué par IBM est plus élevé que celui du NIST.

Enfin, plusieurs vulnérabilités avaient déjà été rendues publiques en 2016, 2017 et 2018 sur d'autres produits de différents éditeurs ou constructeurs et certains possèdent des codes d'exploitation publiquement disponibles.

Afin de mettre à jour les différents produits affectés, les utilisateurs sont invités à se référer aux bulletins de vulnérabilité IBM correspondants.