IBM corrige plusieurs vulnérabilités critiques dans divers produits
Date de publication :
IBM a publié 38 bulletins de sécurité sur ses produits, entre le 04 et le 17 janvier. Parmi ceux-ci, 12 portent sur des vulnérabilités importantes, 24 sur des vulnérabilités modérées et 2 sur des vulnérabilités faibles.
Parmi les vulnérabilités importantes identifiées, certaines spécifiques aux produits IBM ont été identifiées de la manière suivante :
- CVE-2018-1904 [CVSS v3 9.8] : Une vulnérabilité présente sur IBM WebSphere Application Server, une suite logicielle permettant de déployer des applications Web Java. Un attaquant pourrait l'exploiter pour exécuter du code arbitraire Java sur le serveur. Cette attaque est complexe à mettre en œuvre mais ne nécessite ni privilège, ni interaction avec un utilisateur.
CVE-2018-1969 [CVSS v3 9.9] : Une vulnérabilité présente sur IBM Security Identity Manager, une solution logicielle permettant de mettre en place des politiques de gestion des identités et accès. Celle-ci permet à un attaquant de transférer de manière arbitraire des fichiers sur le serveur et d'automatiquement exécuter le code qu'ils contiennent. L'exploitation est simple, peut être réalisée à distance et sans privilège. En revanche, l'interaction avec un utilisateur est requise.
D'autres vulnérabilités ont été corrigées sur des dépendances des produits IBM, les plus critiques ont été référencées de la manière suivante :
- CVE-2018-12539 [CVSS v3 7.8] : Une vulnérabilité a pour origine l'implémentation de la machine virtuelle Java Eclipse OpenJ9 qui est un composant important de l'IBM Developer Kit utilisé par ces produits. Un attaquant pourrait l'exploiter pour exécuter du code arbitraire à distance sur la machine et élever ses privilèges. Une attaque de ce type est peu complexe à mettre en œuvre et ne nécessite ni privilège ni interaction avec un utilisateur.
CVE-2018-2633 [CVSS v3 8.3] : Une vulnérabilité présente dans JavaSE et JRockit (une implémentation de la machine virtuelle Java). L'exploitation permettrait à un attaquant de sortir de environnement en bac à sable de la machine virtuelle Java ou d'en détourner son fonctionnement afin d’exécuter du code arbitraire. Une attaque de ce type est néanmoins complexe à mettre en œuvre mais elle peut être réalisée à distance.
De manière générale, plusieurs des vulnérabilités corrigées dans cette série de bulletin ont pour origine des correctifs apportés par Oracle lors de ses Critical Patch Update, dont la dernière a été publiée le 15 janvier.
Afin de mettre à jour les différents produits vulnérables, les utilisateurs sont invités à se référer aux bulletins de vulnérabilité IBM correspondants.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Elévation de privilège ;
Exécution de code arbitraire.
Criticité
-
Score CVSS : 9.9
Existence d’un code d’exploitation de la vulnérabilité
-
Aucun code d'exploitation n'a été publié.
Composants & versions vulnérables
Les vulnérabilités corrigées portent sur les gammes ou produits suivants :
-
FileNet Content Manager
Integration Bus
B2B Advanced Communications
Worklight
Netcool Agile Service Manager
Cloud Private
Rational Asset Analyzer
WebSphere Application Server
Sterling External Authentication Server
Rational Business Developer
SPSS Analytic Server
Security Identity Manager
Tivoli
Security Guardium
Rational Functional Tester
IBM i
Content Navigator
CVE
- CVE-2018-1904
CVE-2018-1969
CVE-2018-12539
CVE-2018-2633
Solutions ou recommandations
Mise en place de correctif de sécurité
- Les liens vers les correctifs sont listés dans chaque bulletin individuellement.
Solution de contournement
- Aucune solution de contournement n'a été publié.