AccueilSécuritéCorrectifs de sécurité : des attaquants pourraient manipuler les bases de données...

Correctifs de sécurité : des attaquants pourraient manipuler les bases de données dans IBM Db2

Les administrateurs d’applications IBM devraient mettre à jour Cloud Private, Db2, Elastic Search, Event Streams et Netty. Si ce n’est pas le cas, des pirates pourraient attaquer les systèmes et manipuler des données ou accéder à des informations qui sont en fait cloisonnées.

Sommaire

Les développeurs ont comblé la plupart des failles dans le système de base de données DB2. Une vulnérabilité (CVE-2021-29678) est classée avec le niveau de menace « élevé« . Si un attaquant dispose d’une autorisation DBADM, il pourrait accéder aux bases de données et les modifier.

Les autres failles sont notées « moyen« . Après une attaque réussie, les pirates pourraient par exemple accéder à des données en fait cryptées. En cas d’attaque sur les flux d’événements, les pirates pourraient exécuter des codes malveillants. Des vulnérabilités dans Cloud Private pourraient entraîner des fuites de données.

IBM a également publié plusieurs articles sur la faille Log4j et les applications concernées. Il s’agit entre autres de Engineering Lifecycle Optimization et Power HMC.

Les administrateurs peuvent consulter les alertes suivantes pour plus d’informations sur les versions vulnérables et sécurisées. Liste triée par ordre décroissant du niveau de menace :

  • IBM Db2 est vulnérable à une divulgation d’informations lorsqu’un utilisateur ayant l’autorité DBADM peut accéder à d’autres bases de données et lire ou modifier des fichiers (CVE-2021-29678)
  • Vulnérabilité dans Netty affectant IBM Cloud Private (CVE-2021-21409)
  • Vulnérabilité dans Node.js affecte les flux d’événements IBM
  • Vulnérabilité dans Node.js affectant les flux d’événements IBM (CVE-2021-22959)
  • Vulnérabilité dans Netty affecte IBM Cloud Private (CVE-2021-21295)
  • IBM Db2 est vulnérable à une divulgation d’information suite à un utilisateur connecté ayant un accès indirect en lecture à une table dans laquelle ils ne sont pas autorisés à faire des sélections. (CVE-2021-38931)
  • IBM Db2 est vulnérable à une divulgation d’information car il utilise des algorithmes cryptographiques plus faibles que prévu qui pourraient permettre à un attaquant de décrypter des informations très sensibles. (CVE-2021-39002)
  • IBM Db2 peut être vulnérable à une divulgation d’information lors de l’utilisation de l’utilitaire LOAD car, dans certaines circonstances, l’utilitaire LOAD n’applique pas de restrictions de répertoire. (CVE-2021-20373)
  • Vulnérabilité dans Elasticsearch affectant IBM Cloud Private (CVE-2021-22144)
  • IBM Db2 pourrait permettre à un utilisateur local d’obtenir des privilèges élevés en raison de la possibilité de modifier des colonnes de tâches existantes (CVE-2021-38926)
  • Vulnérabilité dans Elasticsearch affectant IBM Cloud Private (CVE-2021-22135, CVE-2021-22137)
  • Vulnérabilité dans Netty affecte IBM Cloud Private (CVE-2021-21290)
  • Vulnérabilité dans Elasticsearch affecte IBM Cloud Private (CVE-2021-22138)
  • Vulnérabilité dans Elasticsearch affecte IBM Cloud Private (CVE-2021-22138)

Plus d'articles