Multiples vulnérabilités dans IBM Support Assistant

Gestion du document

Référence	CERTA-2012-AVI-360
Titre	Multiples vulnérabilités dans IBM Support Assistant
Date de la première version	02 juillet 2012
Date de la dernière version	02 juillet 2012
Source(s)	Bulletin de sécurité IBM swg21599620 du 28 juin 2012
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire ;
contournement de la politique de sécurité ;
atteinte à la confidentialité des données ;
injection de code indirecte à distance.

Systèmes affectés

Versions antérieures à IBM Support Assistant 4.1.3.

Résumé

Cinq vulnérabilités ont été corrigées dans IBM Support Assistant. Deux concernent des injections de code indirectes à distance (XSS). Une permet extraction de ressources privées au moyen du composant « Eclipse Help ». En générant un en-tête HTTP spécifique, il est possible de contourner des sécurités d'accès à la plate-forme. Enfin, la dernière vulnérabilité permet de charger une bibliothèque (DLL) lors de l'ouverture de certains fichiers et ainsi exécuter du code arbitraire.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité IBM swg21599620 du 28 juin 2012 :

http://www-01.ibm.com/support/docview.wss?uid=swg21599620

Référence CVE CVE-2012-0191 :

https://www.cve.org/CVERecord?id=CVE-2012-0191

Référence CVE CVE-2012-0187 :

https://www.cve.org/CVERecord?id=CVE-2012-0187

Référence CVE CVE-2012-0186 :

https://www.cve.org/CVERecord?id=CVE-2012-0186

Référence CVE CVE-2010-4647 :

https://www.cve.org/CVERecord?id=CVE-2010-4647

Référence CVE CVE-2008-7271 :

https://www.cve.org/CVERecord?id=CVE-2008-7271

Avis du CERT-FR

Objet: Multiples vulnérabilités dans IBM Support Assistant