Vulnérabilité critique dans IBM Db2
Date de publication :
Cette vulnérabilité est associée à la faille déjà identifiée : Spring4Shell.
CVE-2022-22965[Score CVSS v3.1: 9.8] (critique)
Une mauvaise gestion des objets PropertyDescriptor dans IBM Db2 permet à un attaquant distant, grâce à l’envoi de données spécialement forgées, d’exécuter du code arbitraire sur le système. L'exploit de cette vulnérabilité nécessite que Spring Framework soit exécuté sur Tomcat en tant que déploiement WAR avec JDK 9 ou version supérieure à l'aide de fonctions spring-webmvc ou spring-webflux.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire (à distance)
Criticité
Score CVSS v3.1: 9.8 (critique)
La faille est activement exploitée
Oui
Un correctif existe
Oui
Une mesure de contournement existe
Non
La vulnérabilité exploitée est du type
CWE-94: Improper Control of Generation of Code
Détails sur l’exploitation
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
IBM Db2 Web Query en version 2.3.0 et 2.2.1 est affecté par cette vulnérabilité.
Solutions ou recommandations
Pour IBM Db2 Web Query 2.3.0, il est recommandé de mettre à jour les versions avec les correctifs suivants :
- Pour Db2 Web Query 2.3.0 avec IBM i 7.5, mettre à jour avec SF99671 niveau 6.
- Pour Db2 Web Query 2.3.0 avec IBM i 7.4, mettre à jour avec SF99654 niveau 6.
- Pour Db2 Web Query 2.3.0 avec IBM i 7.3, mettre à jour avec SF99533 niveau 6.
Pour Db2 Web Query 2.2.1, mettre à jour vers la version 2.3.0. Des informations complémentaires sont disponibles ici.