Multiples vulnérabilités des produits IBM

Risques

Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Déni de service à distance

Systèmes affectés

IBM Tivoli Business Service Manager 4.x ;
IBM Tivoli Provisioning Manager for OS Deployment 5.x ;
IBM Websphere Application Server 6.0.X.
IBM Websphere Business Modeler 6.x ;

Résumé

Plusieurs vulnérabilités ont été découvertes dans des produits IBM. L'exploitation de ces vulnérabilités permet de provoquer un déni de service ou d'effectuer des actions malveillantes sur le système de fichiers de la machine cible.

Description

Plusieurs vulnérabilités ont été découvertes dans des produits IBM :

une vulnérabilité dans l'applicatif IBM Tivoli Provisioning Manager for OS Deployment permet à un utilisateur malintentionné d'effectuer un déni de service depuis le réseau local ;
une vulnérabilité dans l'applicatif IBM Tivoli Business Service Manager permet de récupérer des mots de passes stockés en clair ;
une vulnérabilité dans l'applicatif IBM Websphere Business Modeler permet à un utilisateur légitime malintentionné d'effacer des données importantes ne lui appartenant pas.
D'autres vulnérabilités dont l'impact n'a pas été spécifié par IBM ont été découvertes dans IBM Websphere Application Server.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité IBM swg24017939 du 23 janvier 2008 :

http://www-1.ibm.com/support/docview.wss?uid=swg24017939

Bulletin de sécurité IBM swg24018010 du 23 janvier 2008 :

http://www-1.ibm.com/support/docview.wss?uid=swg24018010

Bulletin de sécurité IBM swg24018060 du 23 janvier 2008 :

http://www-1.ibm.com/support/docview.wss?uid=swg24018060

Bulletin de sécurité IBM swg24018061 du 23 janvier 2008 :

http://www-1.ibm.com/support/docview.wss?uid=swg24018061

Bulletin de sécurité IBM swg27006876 du 23 janvier 2008 :

http://www-1.ibm.com/support/docview.wss?uid=swg27006876

Référence CVE CVE-2008-0389

https://www.cve.org/CVERecord?id=CVE-2008-0389

Référence CVE CVE-2008-0401

https://www.cve.org/CVERecord?id=CVE-2008-0401

Référence CVE CVE-2008-0402

https://www.cve.org/CVERecord?id=CVE-2008-0402

Référence	CERTA-2008-AVI-035
Titre	Multiples vulnérabilités des produits IBM
Date de la première version	23 janvier 2008
Date de la dernière version	23 janvier 2008
Source(s)	Mises à jour de sécurité IBM
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: Multiples vulnérabilités des produits IBM