BULLETIN DE SÉCURITÉ IBM DU 01 JUIN 2021

5/5 - (1 vote)

BULLETIN DE SÉCURITÉ IBM DU 01 JUIN 2021

Vulnérabilité Apache CXF identifiée dans IBM Tivoli Application Dependency Discovery Manager (CVE-2021-22696)

Ce bulletin de sécurité traite de la vulnérabilité dans Open Source Apache CXF qui affecte IBM Tivoli Application Dependency Discovery Manager.
Apache CXF est vulnérable à un déni de service, causé par une validation incorrecte du paramètre request_uri par le service d’autorisation OAuth 2. En envoyant une requête spécialement conçue, un attaquant distant pourrait exploiter cette vulnérabilité pour provoquer un déni de service sur le serveur d’autorisation. (Sources)

Vulnérabilité de sécurité de chaîne de format a été identifiée dans IBM Spectrum Scale (CVE-2021-29740)

Une vulnérabilité de sécurité a été identifiée dans le système de fichiers IBM Spectrum Scale. Cette vulnérabilité pourrait permettre à un attaquant d’exécuter du code arbitraire. Le composant central du système IBM Spectrum Scalefile est affecté par une vulnérabilité de sécurité de chaîne de format. Un attaquant pourrait exécuter du code arbitraire dans le contexte de la mémoire de processus, augmentant potentiellement ses privilèges système et prenant le contrôle de l’ensemble du système avec un accès root. Un correctif pour cette vulnérabilité est disponible.  (Sources)

Embedded WebSphere Application Server est vulnérable à une attaque par injection d’entité externe XML (XXE) et affecte Content Collector for Email

WebSphere Application Server intégré est vulnérable à une vulnérabilité d’injection d’entité externe XML (XXE). IBM WebSphere Application Server 7.0, 8.0, 8.5 et 9.0 est vulnérable à une attaque par injection d’entité externe XML (XXE) lors du traitement de données XML. Un attaquant distant pourrait exploiter cette vulnérabilité pour exposer des informations sensibles ou consommer des ressources mémoire. IBM X-Force. (Sources)

Multiples vulnérabilités dans les produits IBM

De multiples vulnérabilités ont été découvertes dans les produits IBM. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service à distance et une atteinte à l’intégrité des données. (Sources)


OAuth est un protocole libre qui permet d'autoriser un site web, un logiciel ou une application à utiliser l'API sécurisée d'un autre site web pour le compte d'un utilisateur. OAuth n'est pas un protocole d'authentification, mais de « délégation d'autorisation ». 


Une attaque par déni de service (Denial Of Service attack, d’où l’abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser.

Il peut s’agir de la perturbation des connexions entre deux machines, empêchant l’accès à un service particulier, de l’inondation d’un réseau afin d’empêcher son fonctionnement, de l’obstruction d’accès à un service à une personne en particulier, également le fait d’envoyer des milliards d’octets à une box internet. L’attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un serveur web ou empêcher la distribution de courriel dans une entreprise.


International Business Machines Corporation, connue sous le sigle IBM, est une société multinationale américaine présente dans les domaines du matériel informatique, du logiciel et des services informatiques. La société est née le 16 juin 1911 de la fusion de la Computing Scale Company et de la Tabulating Machine Company sous le nom de Computing Tabulating Recording Company (CTR).


Les CERT (Computer Emergency Response Teams) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Les tâches prioritaires d'un CERT sont multiples.

La centralisation des demandes d'assistance à la suite des incidents de sécurité sur les réseaux et les systèmes d'informations. Le traitement des alertes et réaction aux attaques informatiques. L'établissement et maintenance d'une base de donnée des vulnérabilités. La Prévention par diffusion d'informations. La coordination éventuelle avec les autres entités.

Retour haut de page