5/5 - (3 votes)

Avis de sécurité IBM du 21 novembre 2023

IBM corrige un grand nombre de vulnérabilités dans ses produits. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

CVE-2023-24998, Apache Commons FileUpload et Tomcat sont vulnérables à un déni de service, provoqué par la non-limitation du nombre de parties de requête à traiter dans la fonction de téléchargement de fichiers. En envoyant une requête spécialement conçue avec une série de téléchargements, un attaquant distant pourrait exploiter cette vulnérabilité pour provoquer un déni de service.

CVE-2022-25883, Le package semver Node.js est vulnérable à un déni de service, provoqué par une faille de déni de service d’expression régulière (ReDoS) dans la nouvelle fonction Range. En fournissant une entrée regex spécialement conçue, un attaquant distant pourrait exploiter cette vulnérabilité pour provoquer un déni de service.

CVE-2022-1471, SnakeYAML pourrait permettre à un attaquant authentifié à distance d’exécuter du code arbitraire sur le système, provoqué par une désérialisation non sécurisée dans la classe Constructor. En utilisant un contenu YAML spécialement conçu, un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sur le système.

CVE-2017-18640, SnakeYAML est vulnérable à un déni de service, provoqué par une expansion d’entité dans la fonctionnalité Alias ​​lors d’une opération de chargement. En envoyant une requête spécialement conçue, un attaquant distant pourrait exploiter cette vulnérabilité pour provoquer le crash de l’application.

CVE-2023-34104, Natural Intelligence fast-xml-parser est vulnérable à un déni de service, provoqué par une faille de déni de service d’expression régulière (ReDoS) dans les entités Doctype. En envoyant une entrée regex spécialement conçue, un attaquant distant pourrait exploiter cette vulnérabilité pour provoquer une condition de déni de service.


Le code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible. Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


Une attaque par déni de service (Denial Of Service attack, d’où l’abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser. Il peut s’agir de la perturbation des connexions entre deux machines, empêchant l’accès à un service particulier, de l’inondation d’un réseau afin d’empêcher son fonctionnement, de l’obstruction d’accès à un service à une personne en particulier, également le fait d’envoyer des milliards d’octets à une box internet. L’attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un serveur web ou empêcher la distribution de courriel dans une entreprise. Ce mode d'attaque est largement utilisé par les pirates via des failles de sécurité "Zero Day" ou l'absence de mise à jour automatiques.


Une politique de sécurité informatique est un plan d'actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l'organisme (PME, PMI, industrie, administration, État, unions d'États…) en matière de sécurité informatique. Elle est liée à la sécurité de l'information. Elle définit les objectifs de sécurité des systèmes informatiques d'une organisation. Une politique de sécurité informatique est une stratégie visant à maximiser la sécurité informatique d’une entreprise. Elle est matérialisée dans un document qui reprend l’ensemble des enjeux, objectifs, analyses, actions et procédures faisant parti de cette stratégie. La stratégie qui vise à maximiser la sécurité informatique d’une entreprise se matérialise par un document qui regroupe les objectifs, les enjeux et les actions qu'elle doit mettre en œuvre. En complément de la politique de sécurité informatique, les entreprises se dotent d'une charte informatique qui établie des recommandations spécifiques au niveau des technologies informatiques. Certaines cyberattaques réussissent en contournant ou diminuant les politiques de sécurité. Le CERT et le CISA préconisent le comblement immédiat des correctifs des failles critiques et plus particulièrement ceux qui concernent les vulnérabilités de catégorie Zero Day.


Les CERT (Computer Emergency Response Teams) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Les tâches prioritaires d'un CERT sont multiples. La centralisation des demandes d'assistance à la suite des incidents de sécurité sur les réseaux et les systèmes d'informations. Le traitement des alertes et réaction aux attaques informatiques. L'établissement et maintenance d'une base de donnée des vulnérabilités. La Prévention par diffusion d'informations. La coordination éventuelle avec les autres entités.

A propos de l'auteur

Retour en haut