Multiples vulnérabilités dans IBM Tivoli

Date de publication :

JDBC (Java DataBase Connectivity) est une interface de programmation qui permet aux applications Java d’interagir avec des bases de données.

CVE-2022-26520[Score CVSS v3.1:9.8] (critique)

Une vulnérabilité dans Postgres JDBC permet à un attaquant, en modifiant les propriétés de connexion, de créer des fichiers arbitraires sur le système.

Référence IBM 220313[Score CVSS v3.1: 9.8] (critique)

Une exposition des propriétés de connexion pour paramétrer une connexion pgjdbc du driver PostgreSQL JDBC permet à un attaquant distant, en envoyant des propriétés de connexion spécifiquement forgées, d’obtenir un accès sur le système.

CVE-2022-21724[Score CVSS v3.1: 8.5]

Une absence de vérification de certaines classes de plugin dans le driver PostgreSQL JDBC permet à un attaquant, en envoyant des requêtes spécifiquement forgées via ces classes, d’exécuter du code arbitraire sur le système. Les classes « authenticationPluginClassName », « sslhostnameverifier », « socketFactory », « sslfactory » et « sslpasswordcallback » peuvent être utilisées pour mener l’attaque.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Création de fichiers

    Contournement de la politique de sécurité

    Exécution de code arbitraire

Criticité

    Score CVSS v3.1: 9.8 (critique)

La faille est activement exploitée

    Non, pour l’ensemble des CVE présentées.

Un correctif existe

    Oui, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

    Non, pour l’ensemble des CVE présentées.

La vulnérabilité exploitée est du type

CWE-552: Files or Directories Accessible to External Parties

    Pour la Référence IBM 220313

CWE-278: Insecure Preserved Inherited Permissions

CWE-665: Improper Initialization

Détails sur l’exploitation

Pour la CVE-2022-28721 et la Référence IBM 220313

    Vecteur d’attaque : Réseau.

    Complexité de l’attaque : Faible.

    Privilèges nécessaires pour réaliser l’attaque : Aucun.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-21724

    Vecteur d’attaque : Physique.

    Complexité de l’attaque : Élevée.

    Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

    IBM Tivoli Netcool Impact versions inférieures à 7.1.0.25

Solutions ou recommandations

  • Mettre à jour IBM Tivoli Netcool Impact vers la version 7.1.0.25 ou vers une version supérieure.

  • Voir ici pour télécharger la version 7.1.0.25.

  • Plus d’informations disponibles ici.

Liens