L’équipe DDP Decision vous fait part d’une information importante.
IBM vient de sortir plusieurs bulletins de sécurité pour des vulnérabilités (max 9,8) concernant IBM Cognos Analytics et IBM Cognos Transformer. Des versions correctives viennent d’être mises à disposition.
IBM recommande fortement cette mise à jour.
Résumé
Il existe des vulnérabilités dans les composants IBM® Java™, IBM WebSphere Application Server Liberty et Open-Source Software (OSS) utilisés par IBM Cognos Analytics. De plus, IBM Cognos Analytics est exposé aux vulnérabilités Open URL Redirection et Link Manipulation.
IBM® Java™ et Bouncy Castle Crypto Package For Java utilisés par IBM Cognos Transformer contiennent également des vulnérabilités.
D’autre part, IBM Cognos Analytics est considéré comme vulnérable à un téléchargement de fichiers malveillants qui pourrait permettre à un utilisateur privilégié de télécharger des fichiers malveillants qui peuvent être traités automatiquement dans le produit (CVE-2023-42017) et à une injection de langage d’expression (EL) qui pourrait permettre à un attaquant distant d’exploiter cette vulnérabilité pour exposer des informations sensibles et consommer des ressources (CVE-2024-51466).
Ce bulletin de sécurité concerne uniquement les composants tiers utilisés directement par IBM Cognos Analytics et IBM Cognos Transformer, et non les dépendances imbriquées dans le produit.
Cognos Analytics
CVEID : CVE-2022-23990
Description : Expat (alias libexpat) pourrait permettre à un attaquant distant d’exécuter du code arbitraire sur le système, en raison d’un dépassement d’entier dans la fonction doProlog. En envoyant une requête spécialement conçue, un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sur le système.
CWE : CWE-190 : Dépassement de capacité ou bouclage d’entier
Source CVSS : IBM X-Force
Score de base CVSS : 9,8
Vecteur CVSS : (CVSS : 3.0/AV : N/AC : L/PR : N/UI : N/S : U/C : H/I : H/A : H)
CVEID : CVE-2022-23852
Description : Expat (alias libexpat) pourrait permettre à un attaquant distant d’exécuter du code arbitraire sur le système, provoqué par un dépassement d’entier dans la fonction XML_GetBuffer. En envoyant une requête spécialement conçue, un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sur le système.
CWE : CWE-190 : Dépassement d’entier ou Wraparound
CVSS Source : IBM X-Force
Score de base CVSS : 9,8
Vecteur CVSS : (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
CVEID : CVE-2024-51466
Description : IBM Cognos Analytics est vulnérable à une vulnérabilité d’injection de langage d’expression (EL). Un attaquant distant pourrait exploiter cette vulnérabilité pour exposer des informations sensibles, consommer des ressources mémoire et/ou provoquer le blocage du serveur lors de l’utilisation d’une instruction EL spécialement conçue.
Source CVSS : IBM
Score de base CVSS : 9
Vecteur CVSS : (CVSS : 3.1/AV : N/AC : H/PR : N/UI : N/S : C/C : H/I : H/A : H)
IBM Cognos Transformer
CVEID : CVE-2024-29857
Description : le package de chiffrement Bouncy Castle pour Java est vulnérable à un déni de service, causé par une validation d’entrée incorrecte. En important un certificat EC avec des paramètres F2m conçus à cet effet, un attaquant distant pourrait exploiter cette vulnérabilité pour provoquer une consommation excessive du processeur.
CWE : CWE-770 : Allocation de ressources sans limites ni limitation
Source CVSS : IBM X-Force
Score de base CVSS : 7.5
Vecteur CVSS : (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
Logiciels concernés
IBM Cognos Analytics 11.2.0 à 11.2.4 FP4 et 12.0.0 à 12.0.4
IBM Cognos Transformer 11.2.4 à 11.2.4 FP4 et 12.0.0 à 12.0.4
Résolution
Mise à niveau d’IBM Cognos Analytics et Cognos Transformer vers les versions 11.2.4 FP5 ou 12.0.4 correctif provisoire 1.
Nous restons à votre disposition pour tout complément d’information. Si besoin, nous vous invitons à ouvrir un ticket dans notre extranet client Support DDP.
