Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Exécution de code arbitraire
- Injection de code indirecte à distance
Systèmes affectés
Versions antérieures à IBM Support Assistant 4.1.3.
Résumé
Cinq vulnérabilités ont été corrigées dans IBM Support Assistant. Deux concernent des injections de code indirectes à distance (XSS). Une permet extraction de ressources privées au moyen du composant « Eclipse Help ». En générant un en-tête HTTP spécifique, il est possible de contourner des sécurités d'accès à la plate-forme. Enfin, la dernière vulnérabilité permet de charger une bibliothèque (DLL) lors de l'ouverture de certains fichiers et ainsi exécuter du code arbitraire.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité IBM swg21599620 du 28 juin 2012 http://www-01.ibm.com/support/docview.wss?uid=swg21599620
- Référence CVE CVE-2008-7271 https://www.cve.org/CVERecord?id=CVE-2008-7271
- Référence CVE CVE-2010-4647 https://www.cve.org/CVERecord?id=CVE-2010-4647
- Référence CVE CVE-2012-0186 https://www.cve.org/CVERecord?id=CVE-2012-0186
- Référence CVE CVE-2012-0187 https://www.cve.org/CVERecord?id=CVE-2012-0187
- Référence CVE CVE-2012-0191 https://www.cve.org/CVERecord?id=CVE-2012-0191
