Chers clients,
L’équipe DDP Decision vous fait part d’une information importante.
IBM vient de sortir un bulletin de sécurité pour des vulnérabilités (max 9,8) concernant IBM Cognos Analytics et l’application mobile IBM Cognos Analytics Mobile (pour iOS et Android). Une version corrective vient d’être mis à disposition.
IBM recommande fortement cette mise à jour.
Résumé
Des vulnérabilités existent dans les bibliothèques de logiciels Open Source (OSS) utilisées par IBM Cognos Analytics Mobile et IBM Cognos Analytics.
De plus, ce dernier est affecté par des vulnérabilités dans IBM WebSphere Application Server Liberty. Les problèmes liés à ces composants ont été résolus par la mise à niveau ou la suppression des bibliothèques vulnérables.
En outre, une vulnérabilité de script intersite (XSS) a été résolue ainsi que celles liées à la mauvaise configuration CORS et à des “Certificate Pinning”.
Ces bulletins de sécurité concernent uniquement les composants tiers utilisés directement par IBM Cognos Analytics et IBM Cognos Analytics Mobile, et non les dépendances imbriquées dans ces produits.
Vulnérabilité les plus hautes (9,8) :
Cognos Analytics et Cognos Analytics Mobile
CVEID : CVE-2023-42282
Gravité : (CVSS : 3.0/AV : N/AC : L/PR : N/UI : N/S : U/C : H/I : H/A : H) 9,8 (haute)
CWE : CWE-918 : Falsification de requête côté serveur (SSRF)
Description : le package IP Node.js pourrait permettre à un attaquant distant d’exécuter du code arbitraire sur le système, en raison d’une faille de falsification de requête côté serveur dans la fonction ip.isPublic().
En envoyant une requête spécialement conçue à l’aide d’une représentation hexadécimale d’une adresse IP privée, un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sur le système et obtenir des informations sensibles.
IBM Cognos Analytics
CVEID : CVE-2022-29622
Gravité : (CVSS : 3.0/AV : N/AC : L/PR : N/UI : N/S : U/C : H/I : H/A : H) 9,8 (haute)
CWE : CWE-434 : Téléchargement sans restriction d’un fichier de type dangereux
Description : le module Formidable de Node.js pourrait permettre à un attaquant distant de télécharger des fichiers arbitraires, en raison d’une validation incorrecte des extensions de fichier.
En envoyant une requête HTTP spécialement conçue à l’aide du paramètre filename, un attaquant pourrait exploiter cette vulnérabilité pour télécharger un fichier PDF malveillant, ce qui pourrait permettre à l’attaquant d’exécuter du code arbitraire sur le système vulnérable.
Descriptifs complets de la vulnérabilité
Logiciels concernés
IBM Cognos Analytics 11.2.0 à 11.2.3 FP3 et 12.0.0 à 12.0.3
IBM Cognos Analytics Mobile (Android, iOS) 1.1
Résolution
Mise à niveau de Cognos Analytics vers les versions 11.2.4 FP4 ou 12.0.4 et Cognos Analytics Mobile (Android, iOS) vers la version 1.1.20.
Nous restons à votre disposition pour tout complément d’information. Si besoin, nous vous invitons à ouvrir un ticket dans notre extranet client Support DDP.
