AccueilActualités informatiqueIBM sécurise le système de base de données Db2 et d'autres logiciels

IBM sécurise le système de base de données Db2 et d’autres logiciels

IBM a publié des mises à jour de sécurité importantes pour App Connect Enterprise, Cloud Object Storage Systems, Db2, PowerVM Hypervisor, Spectrum Control et WebSphere. Si les attaques réussissent, les pirates pourraient paralyser les systèmes (DoS) ou même exécuter des codes malveillants.

Les administrateurs devraient étudier les messages d’alerte liés à ce message. Ils y trouveront des informations sur les versions de logiciels menacées et protégées contre les attaques.

La plus dangereuse est une « critique« (CVE-2021-23358) dans Node.js. Elle affecte IBM App Connect Enterprise. En raison d’une erreur dans une fonction de modèle, un attaquant distant pourrait envoyer des requêtes préparées et ensuite exécuter son propre code.

Une vulnérabilité de niveau « élevé« concerne l’hyperviseur PowerVm. Elle permettrait à un attaquant de manipuler la mémoire des systèmes hôtes. En envoyant une archive zip préparée, les attaquants pourraient faire planter IBM Spectrum Control et WebSphere.

Comme IBM Db2 utilise dans certains cas un cryptage plus faible que prévu (CVE-2021-39002 « moyen« ), les attaquants pourraient éventuellement décrypter des informations

Liste triée par ordre décroissant du niveau de menace :

  • IBM App Connect Enterprise v11 est affecté par des vulnérabilités dans Node.js
  • L’hyperviseur PowerVM peut permettre à un attaquant de gagner l’accès au service FSP pour lire et écrire dans la mémoire système.
  • De multiples vulnérabilités affectent les systèmes de stockage d’objets en nuage d’IBM
  • Des vulnérabilités dans Node.js, IBM WebSphere Application Server Liberty, et OpenSSL affectent IBM Spectrum Control
  • L’hyperviseur PowerVM est vulnérable à un appel à l’hyperviseur IBMi soigneusement conçu qui peut conduire à un crash du système.
  • IBM Db2 peut être vulnérable à une divulgation d’informations lors de l’utilisation de l’utilitaire LOAD car, dans certaines circonstances, l’utilitaire LOAD n’applique pas de restrictions de répertoire.
  • IBM Db2 est vulnérable à une divulgation d’information car il utilise des algorithmes cryptographiques plus faibles que prévu qui pourraient permettre à un attaquant de décrypter des informations très sensibles.
  • IBM Db2 pourrait permettre à un utilisateur local d’obtenir des privilèges élevés en raison de la possibilité de modifier des colonnes de tâches existantes.

Plus d'articles