Multiples vulnérabilités dans IBM Tivoli
Date de publication :
JDBC (Java DataBase Connectivity) est une interface de programmation qui permet aux applications Java d’interagir avec des bases de données.
CVE-2022-26520[Score CVSS v3.1:9.8] (critique)
Une vulnérabilité dans Postgres JDBC permet à un attaquant, en modifiant les propriétés de connexion, de créer des fichiers arbitraires sur le système.
Référence IBM 220313[Score CVSS v3.1: 9.8] (critique)
Une exposition des propriétés de connexion pour paramétrer une connexion pgjdbc du driver PostgreSQL JDBC permet à un attaquant distant, en envoyant des propriétés de connexion spécifiquement forgées, d’obtenir un accès sur le système.
CVE-2022-21724[Score CVSS v3.1: 8.5]
Une absence de vérification de certaines classes de plugin dans le driver PostgreSQL JDBC permet à un attaquant, en envoyant des requêtes spécifiquement forgées via ces classes, d’exécuter du code arbitraire sur le système. Les classes « authenticationPluginClassName », « sslhostnameverifier », « socketFactory », « sslfactory » et « sslpasswordcallback » peuvent être utilisées pour mener l’attaque.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Création de fichiers
- Contournement de la politique de sécurité
- Exécution de code arbitraire
Criticité
- Score CVSS v3.1: 9.8 (critique)
La faille est activement exploitée
- Non, pour l’ensemble des CVE présentées.
Un correctif existe
- Oui, pour l’ensemble des CVE présentées.
Une mesure de contournement existe
- Non, pour l’ensemble des CVE présentées.
La vulnérabilité exploitée est du type
- Pour la CVE-2022-26520
CWE-552: Files or Directories Accessible to External Parties
- Pour la Référence IBM 220313
CWE-278: Insecure Preserved Inherited Permissions
- Pour la CVE-2022-21724
CWE-665: Improper Initialization
Détails sur l’exploitation
Pour la CVE-2022-28721 et la Référence IBM 220313
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-21724
- Vecteur d’attaque : Physique.
- Complexité de l’attaque : Élevée.
- Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
- IBM Tivoli Netcool Impact versions inférieures à 7.1.0.25