Déni de service : de multiples vulnérabilités découvertes dans les produits IBM

De multiples vulnérabilités ont été découvertes dans les produits IBM. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et un déni de service à distance.

RISQUES

• Atteinte à l’intégrité des données


• Atteinte à la confidentialité des données


• Contournement de la politique de sécurité


• Déni de service à distance


• Exécution de code arbitraire à distance


• Injection de code indirecte à distance (XSS)


• Non spécifié par l’éditeur


• Élévation de privilèges

SYSTÈMES AFFECTÉS

• AIX se référer au site de l’éditeur pour les versions vulnérables, cf. section Documentation


• Cognos Analytics versions 11.2.x antérieures à 11.2.4.5 IF5


• Cognos Analytics versions 12.0.x antérieures à 12.0.4 IF3


• Cognos Analytics versions 12.1.x antérieures à 12.1.0 IF1


• Cognos PowerPlay versions 12.1.x antérieures à 12.1.0 IF1


• Cognos Transformer versions 11.2.x antérieures à 11.2.4 FP5


• Cognos Transformer versions 12.0.x antérieures à 12.0.4 IF3


• Cognos Transformer versions 12.1.x antérieures à 12.1.0 IF1


• IBM Sterling B2B Integrator versions 6.0.3.x antérieures à 6.0.3.5


• IBM Sterling B2B Integrator versions 6.1.0.x antérieures à 6.1.0.3


• IBM Sterling B2B Integrator versions 6.1.x antérieures à 6.1.1.0


• IBM Sterling B2B Integrator versions antérieures à 6.0.0.7


• QRadar SIEM versions 7.5.x antérieures à 7.5.0 UP11 IF04


• VIOS se référer au site de l’éditeur pour les versions vulnérables, cf. section Documentation


• WebSphere Automation versions antérieures à 1.8.2

SOLUTIONS

• Obtenir la clé publique OpenSSL qui peut être utilisée pour vérifier les avis et les correctifs signés 


• Vérifier le bulletin de sécurité AIX/VIOS


• Installer un package de correctifs provisoires


• Installer un package de correctifs

Source : CERT-FR