Bulletin 1 : IBM Cognos Analytics a corrigé des vulnérabilités de sécurité dans JupyterHub
IBM Cognos Analytics a corrigé des vulnérabilités de sécurité dans JupyterHub, le langage de programmation R et Apache MINA (CVE-2024-28233, CVE-2024-27322, CVE-2019-0231, CVE-2021-41973)
Résumé
IBM Cognos Analytics a une vulnérabilité de script intersite (XSS) dans JupyterHub et dans l’exécution de code à distance (RCE) dans le langage de programmation R utilisé par Jupyter Notebook. IBM Cognos Analytics a corrigé une vulnérabilité de déni de service (DOS) et une vulnérabilité de divulgation d’informations dans Apache MINA.
IBM Cognos Analytics a résolu les CVE applicables en mettant à niveau les bibliothèques vulnérables. Veuillez-vous référer à la section Informations connexes ci-dessous pour connaître l’impact de la vulnérabilité.
Ce bulletin de sécurité concerne uniquement l’utilisation directe de composants tiers par IBM Cognos Analytics et non les dépendances imbriquées au sein du produit.
Vulnérabilité la plus haute (9,3)
CVEID : CVE-2024-28233
Gravité : (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N) 9,3 (Haute)
Score temporel CVSS : voir : https://exchange.xforce.ibmcloud.com/vulnerabilities/286522 pour le score actuel.
Description : JupyterHub est vulnérable aux scripts intersites, provoqués par une validation incorrecte des entrées fournies par l’utilisateur. Un attaquant distant pourrait exploiter cette vulnérabilité en utilisant une URL spécialement conçue pour exécuter un script dans le navigateur Web d’une victime dans le contexte de sécurité du site Web d’hébergement, une fois l’URL cliqué.
Un attaquant pourrait utiliser cette vulnérabilité pour voler les informations d’authentification basées sur les cookies de la victime.
Liste complète des vulnérabilités :
Cote de gravité :
Utilisation du système de notation CVSS V3.0 (https://nvd.nist.gov/vuln-metrics/cvss), Qlik évalue cette gravité comme haute.
Logiciels concernés :
Toutes les versions de Cognos Analytics 11.2.x et 12.0.x
Résolution
Mise à niveau de Cognos Analytics vers les versions 11.2.4 FP4 ou 12.0.3 IF1
Nous restons à votre disposition pour tout complément d’information. Si besoin, nous vous invitons à ouvrir un ticket dans notre extranet client Support DDP.
Bulletin 2 : corrections de plusieurs autres vulnérabilités
Résumé
Il existe des vulnérabilités dans IBM® Java™ version 8 et IBM WebSphere Application Server Liberty utilisés par IBM Cognos Analytics. IBM Cognos Analytics a corrigé ces vulnérabilités en mettant à niveau IBM® Java™ et IBM WebSphere Application Server Liberty. Il existe des vulnérabilités dans les composants logiciels open source (OSS) utilisés par IBM Cognos Analytics.
IBM Cognos Analytics a résolu les CVE applicables en mettant à niveau ou en supprimant les bibliothèques vulnérables dans les dernières versions disponibles. De plus, IBM Cognos Analytics a corrigé une vulnérabilité de Cross-Site Scripting (XSS) et une vulnérabilité de validation incorrecte des certificats. Veuillez-vous référer à la section Informations connexes ci-dessous pour connaître l’impact de la vulnérabilité.
Ce bulletin de sécurité concerne uniquement l’utilisation directe de composants tiers par IBM Cognos Analytics et non les dépendances imbriquées au sein du produit.
Liste des vulnérabilités les plus hautes (9,8)
CVEID : CVE-2021-23358
Gravité : (CVSS : 3.0/AV : N/AC : L/PR : N/UI : N/S : U/C : H/I : H/A : H) 9,8 (Haute)
Score temporel CVSS : voir : https://exchange.xforce.ibmcloud.com/vulnerabilities/198958 pour le score actuel.
Description : nœud Le module de soulignement .js pourrait permettre à un attaquant distant d’exécuter du code arbitraire sur le système, provoqué par une faille dans la fonction de modèle. En envoyant un argument spécialement conçu à l’aide de la propriété variable, un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sur le système.
CVEID : CVE-2023-37466
Gravité : (CVSS : 3.0/AV : N/AC : L/PR : N/UI : N/S : U/C : H/I : H/A : H) 9,8 (Haute)
Score temporel CVSS : voir : https://exchange.xforce.ibmcloud.com/vulnerabilities/260831 pour le score actuel.
Description : le module Node.js vm2 pourrait permettre à un attaquant distant d’exécuter du code arbitraire sur le système, causé par une faille d’échappement sandbox dans le gestionnaire Promise. En envoyant une demande spécialement conçue, un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sur le système.
CVEID : CVE-2023-37903
Gravité : (CVSS : 3.0/AV : N/AC : L/PR : N/UI : N/S : U/C : H/I : H/A : H) 9,8 (Haute)
Score temporel CVSS : voir : https://exchange.xforce.ibmcloud.com/vulnerabilities/261385 pour le score actuel.
Description : le module Node.js vm2 pourrait permettre à un attaquant distant d’exécuter du code arbitraire sur le système, en raison d’une faille dans la fonction d’inspection personnalisée. En envoyant une requête spécialement conçue, un attaquant pourrait exploiter cette vulnérabilité pour échapper au sandbox et exécuter du code arbitraire sur le système.
CVEID : CVE-2021-20086
Gravité : (CVSS : 3.0/AV : N/AC : L/PR : N/UI : N/S : U/C : H/I : H/A : H) 9,8 (Haute)
Score temporel CVSS : consultez : https://exchange.xforce.ibmcloud.com/vulnerabilities/200637 pour connaître le score actuel.
Description : jquery-bbq pourrait permettre à un attaquant distant d’exécuter du code arbitraire sur le système, en raison d’une pollution de prototype. En envoyant une requête spécialement conçue, un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sur le système.
Liste complète des vulnérabilités :
Cote de gravité :
Utilisation du système de notation CVSS V3.0 (https://nvd.nist.gov/vuln-metrics/cvss), Qlik évalue cette gravité comme haute.
Logiciels concernés :
toutes les versions de Cognos Analytics 11.2.x et 12.0.x
Résolution
Mise à niveau de Cognos Analytics 11.2.4 FP4 et 12.0.3 IF1
Nous restons à votre disposition pour tout complément d’information. Si besoin, nous vous invitons à ouvrir un ticket dans notre extranet client Support DDP.
