La solution IBM API Connect affectée suite à des vulnérabilités PHP
Date de publication :
IBM a publié un bulletin de sécurité, portant sur différentes versions de son produit IBM API Connect, suite à des vulnérabilités PHP. Parmi les vulnérabilités corrigées, 3 sont considérées comme critiques et une comme étant moyenne.
L'impact sur la disponibilité, l'intégrité et la confidentialité des données est élevé. En effet, l'exploitation des vulnérabilités critiques peut être réalisée à distance, ne nécessite ni privilège, ni interaction avec un utilisateur et se révèle simple à mettre en œuvre.
Dans ce bulletin de sécurité, les vulnérabilités PHP affectent les produits suivants :
-
IBM API Connect version 5.0.0.0-5.0.8.5
IBM API Connect version 2018.1-2018.4.1.3
Aucune des vulnérabilités identifiées n'a été exploitée.
Détails Techniques :
Les vulnérabilités les plus critiques ont été référencées comme suit :
- CVE-2019-9638 [CVSS V3 7.5] : Une vulnérabilité a été découverte dans le composant EXIF de PHP, des versions antérieures à 7.1.27, des versions 7.2.x antérieures à 7.2.16 et des versions 7.3.x antérieures à 7.3.3. Cette vulnérabilité est causée par une mauvaise gestion du paramètre "marker_note" et de la variable "value_len" provoquant une lecture non initialisée dans la méthode PHP "exif_process_IFD_in_MAKERNOTE". Cette vulnérabilité PHP pourrait permettre à un attaquant connecté à distance d'exécuter du code arbitraire sur le système.
- CVE-2019-9639 [CVSS V3 7.5] : Une vulnérabilité a été découverte dans le composant EXIF de PHP, des versions antérieures à 7.1.27, des versions 7.2.x antérieures à 7.2.16 et des versions 7.3.x antérieures à 7.3.3. Cette vulnérabilité est causée par une mauvaise gestion de la variable "data_len" provoquant une lecture non initialisée dans la méthode PHP "exif_process_IFD_in_MAKERNOTE". L'exploitation de cette vulnérabilité PHP pourrait permettre à un attaquant connecté à distance d'exécuter du code arbitraire sur le système.
- CVE-2019-9641 [CVSS V3 9.8] : Une vulnérabilité a été découverte dans le composant EXIF de PHP, des versions antérieures à 7.1.27, des versions 7.2.x antérieures à 7.2.16 et des versions 7.3.x antérieures à 7.3.3. Cette vulnérabilité est causée par une lecture non initialisée de la méthode PHP "exif_process_IFD_in_TIFF". Cette vulnérabilité PHP pourrait permettre à un attaquant connecté à distance d'exécuter du code arbitraire sur le système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Atteinte à la confidentialité des données
Déni de service
Modification des paramètres
Criticité
-
Score CVSS : 9.80
Existence d’un code d’exploitation de la vulnérabilité
Aucun code d'exploitation n'est publiquement disponible pour les vulnérabilités identifiées.
Composants & versions vulnérables
-
IBM API Connect version 5.0.0.0-5.0.8.5
IBM API Connect version 2018.1-2018.4.1.3
CVE
-
CVE-2019-9638 [CVSS V3 7.5]
CVE-2019-9639 [CVSS V3 7.5]
CVE-2019-9641 [CVSS V3 9.8]
Solutions ou recommandations
Mise en place de correctif de sécurité
IBM a publié des mises à jour pour chacun des produits mentionnés dans le bulletin de sécurité.
Solution de contournement
Aucune solution de contournement n'a été proposée pour les vulnérabilités identifiées.