Bulletin de sécurité IBM du 30 janvier 2023

IBM corrige de nombreuses vulnérabilités dans ses trois bulletins de sécurité émis le 30 janvier 2023. Ces corrections portent principalement sur divers composants de Java SE, à savoir JNDI,JESS, Librairies, et Sérialisation. Ce bulletin concerne Eclipse Openj9 avec l’élévation potentielle de privilèges pouvant conduire à une exécution de code arbitraire sur le système.

La vulnérabilité (CVE-2022-21496) non spécifiée dans Java SE liée au composant JNDI pourrait permettre à un attaquant non authentifié de causer un impact sur l’intégrité des données. (Sources)

Neutralisation de la vulnérabilité (CVE-2022-21443) non spécifiée dans Java SE liée au composant Libraries pourrait permettre à un attaquant non authentifié de provoquer un déni de service entraînant un impact de faible disponibilité à l’aide de vecteurs d’attaque inconnus. (Sources)

Correction de la vulnérabilité (CVE-2021-35578) non spécifiée dans Java SE liée au composant JSSE pourrait permettre à un attaquant non authentifié de provoquer un déni de service entraînant un impact sur la faible disponibilité à l’aide de vecteurs d’attaque inconnus.

Une attaque par déni de service (Denial Of Service attack, d’où l’abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser. Il peut s’agir de la perturbation des connexions entre deux machines, empêchant l’accès à un service particulier, de l’inondation d’un réseau afin d’empêcher son fonctionnement, de l’obstruction d’accès à un service à une personne en particulier, également le fait d’envoyer des milliards d’octets à une box internet. L’attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un serveur web ou empêcher la distribution de courriel dans une entreprise. Ce mode d'attaque est largement utilisé par les pirates via des failles de sécurité "Zero Day" ou l'absence de mise à jour automatiques.

Une vulnérabilité (CVE-2022-21341) non spécifiée dans Java SE liée au composant de sérialisation pourrait permettre à un attaquant non authentifié de provoquer un déni de service entraînant un impact sur la faible disponibilité à l’aide de vecteurs d’attaque inconnus.

Eclipse Openj9 ( CVE-2021-41035) pourrait permettre à un attaquant distant d’obtenir des privilèges élevés sur le système. En persuadant une victime d’exécuter un programme spécialement conçu sous un gestionnaire de sécurité, un attaquant pourrait exploiter cette vulnérabilité pour obtenir des privilèges élevés et exécuter du code arbitraire sur le système. (Sources)

Le code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible. Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.

Multiples vulnérabilités dans les produits IBM. De multiples vulnérabilités ont été découvertes dans les produits IBM. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l’intégrité des données. (Sources)

De manière générale, l'intégrité des données désigne l'état de données qui, lors de leur traitement, de leur conservation ou de leur transmission, ne subissent aucune altération ou destruction volontaire ou accidentelle, et conservent un format permettant leur utilisation. L'intégrité des données comprend quatre éléments : l'intégralité, la précision, l'exactitude/authenticité et la validité. L'intégrité est l'une des exigences de base de la sécurité informatique, de la gestion documentaire et de l'archivistique. L'intégrité physique concerne le matériel et les moyens mis en œuvre en matière de stockage, de sauvegarde et de récupération des données. L'intégrité logique se base sur la conservation des données relationnelles dans une base de données.


Les CERT (Computer Emergency Response Teams) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Les tâches prioritaires d'un CERT sont multiples. La centralisation des demandes d'assistance à la suite des incidents de sécurité (attaques) sur les réseaux et les systèmes d'informations : réception des demandes, analyse des symptômes et éventuelle corrélation des incidents. Le traitement des alertes et réaction aux attaques informatiques : analyse technique, échange d'informations avec d'autres CERTs, contribution à des études techniques spécifiques. L'établissement et maintenance d'une base de donnée des vulnérabilités, La prévention par diffusion d'informations sur les précautions à prendre pour minimiser les risques d'incident ou au pire leurs conséquences, La coordination éventuelle avec les autres entités ( centres de compétence réseaux, opérateurs et fournisseurs d'accès à Internet CERTs nationaux et internationaux).