Avis de sécurité IBM du 03 janvier 2024.

Bulletins de sécurité IBM des 02 et 03 janvier 2024.

IBM diffuse un bulletin de sécurité pour corriger une trentaines de vulnérabilités découvertes dans divers de ses produits, Babel, Zlib, GSKit-Crypto, Netflex et Eclipse. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à la confidentialité des données, une atteinte à l’intégrité des données et un déni de service (DDoS).

CVE-2023-43646 :

La bibliothèque d’assertions Chai.js get-func-name est vulnérable à un déni de service, provoqué par une faille de déni de service d’expression régulière (ReDoS). En envoyant une entrée regex spécialement conçue, un attaquant distant pourrait exploiter cette vulnérabilité pour provoquer une condition de déni de service.

CVE-2022-25883 :

Nœud Le package .js semver est vulnérable à un déni de service, provoqué par une faille de déni de service d’expression régulière (ReDoS) dans la nouvelle fonction Range. En fournissant une entrée regex spécialement conçue, un attaquant distant pourrait exploiter cette vulnérabilité pour provoquer un déni de service.

CVE-2018-25032 :

Zlib est vulnérable à un déni de service, provoqué par une corruption de mémoire lors de l’opération deflate. En utilisant de nombreuses correspondances distantes, un attaquant distant pourrait exploiter cette vulnérabilité pour provoquer le crash de l’application. Une vulnérabilité dans zlib affecte l’image du système d’exploitation pour le système AIX. En réponse à cette vulnérabilité, IBM fournit le nouveau IBM Cloud Pak System v2.3.3.7 Interim Fix 1 qui met à jour l’image du système d’exploitation pour le système AIX vers l’image du système d’exploitation AIX 3.1.2.0 avec AIX 7.2 TL5 SP6.

CVE-2023-24998:

Apache Commons FileUpload et Tomcat sont vulnérables à un déni de service, causé par le nombre non limité de parties de requête à traiter dans la fonction de téléchargement de fichiers. En envoyant une requête spécialement conçue avec une série de téléchargements, un attaquant distant pourrait exploiter cette vulnérabilité pour provoquer un déni de service.

CVE-2023-45133:

Babel pourrait permettre à un attaquant local d’exécuter du code arbitraire sur le système, provoqué par une faille dans path.evaluate() ou path.evaluateTruthy(). En utilisant un code spécialement conçu pour compiler, un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sur le système.

CVE-2023-33850:

IBM GSKit-Crypto pourrait permettre à un attaquant distant d’obtenir des informations sensibles, provoquées par un canal secondaire basé sur le timing dans l’implémentation du décryptage RSA. En envoyant un trop grand nombre de messages d’essai pour décryptage, un attaquant pourrait exploiter cette vulnérabilité pour obtenir des informations sensibles.

 CVE-2023-21930:

Une vulnérabilité non spécifiée dans Oracle Java SE, Oracle GraalVM Enterprise Edition liée au composant JSSE pourrait permettre à un attaquant non authentifié d’entraîner un impact élevé sur la confidentialité et un impact élevé sur l’intégrité.

CVE-2023-2597:

Eclipse Openj9 est vulnérable à un débordement de tampon, provoqué par une vérification incorrecte des limites par la fonction getCachedUTFString(). En utilisant une entrée spécialement conçue, un attaquant local authentifié pourrait faire déborder un tampon et exécuter du code arbitraire sur le système.


Le code arbitraire, également connu sous le nom de code obscur ou de code spaghetti, est une pratique où le flux logique d'un programme devient difficile à suivre en raison de la complexité excessive de sa structure. Ce type de code peut résulter d'une mauvaise conception, de l'accumulation de correctifs sans structure claire, ou simplement d'un manque de compréhension du langage de programmation utilisé. Le code arbitraire rend la maintenance et la mise à jour du logiciel difficiles et augmente le risque d'erreurs. Pour éviter cela, il est essentiel de suivre des pratiques de programmation claires et de maintenir une structure logique dans le code.

Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


La confidentialité en informatique est un principe fondamental qui garantit la protection des données personnelles des utilisateurs. Elle implique que les informations sensibles soient accessibles uniquement aux personnes autorisées. Avec la prolifération des plateformes en ligne et des appareils connectés, la préservation de la confidentialité devient cruciale.

Les technologies telles que le chiffrement des données et les pare-feu jouent un rôle essentiel dans cette protection. Cependant, des préoccupations persistent concernant la collecte excessive de données par les entreprises et les gouvernements, mettant en péril la vie privée des individus. Ainsi, il est impératif de mettre en place des réglementations strictes et des pratiques de sécurité robustes pour préserver la confidentialité des données dans le monde numérique.

La confidentialité permet d'empêcher un accès non autorisé à des informations qui présentent un caractère sensible. Les intrusions dans les réseaux d'entreprise qui ne sont pas assez protégées, les négligences des personnes qui exposent des données non chiffrées, les niveaux insuffisants des contrôles d'accès sont autant de situations qui mettent en péril la confidentialité des données.

De plus en plus de navigateurs, comme par exemple QWant et surtout Brave, se lancent dans une politique de confidentialité des données de navigation. Nul doute que l'utilisation d'un Réseau Privé Virtuel (VPN) et l'utilisation de données dans un cloud sécurisé améliorent la confidentialité et la sécurité des échanges. En juin 2023, la société Proton lance son extension de navigateur Proton Pass. Un gestionnaire de mots de passe sécurisé, gratuit et open source


Le déni de service (DDoS) est une attaque malveillante visant à rendre un service indisponible pour les utilisateurs légitimes en submergeant le serveur ciblé avec un grand volume de trafic. Les attaquants exploitent souvent des réseaux de machines infectées par des logiciels malveillants, appelées botnets, pour coordonner ces attaques massives. Les conséquences du DDoS peuvent être graves, allant de la perturbation temporaire des services en ligne à des dommages financiers considérables pour les entreprises.

Pour se protéger contre de telles attaques par déni de service, les organisations doivent mettre en œuvre des solutions de détection et de mitigation efficaces ainsi que des plans de réponse aux incidents. Ce mode d'attaque est largement utilisé par les pirates via des failles de sécurité de catégorie "Zero Day" ou l'absence de mises à jour automatiques.


L'intégrité des données est une composante essentielle de la sécurité informatique. Elle garantit que les données sont exactes, complètes et fiables tout au long de leur cycle de vie. En assurant l'intégrité des données, les entreprises et les utilisateurs peuvent avoir confiance dans l'exactitude et la fiabilité des informations qu'ils manipulent.

L'intégrité physique concerne le matériel et les moyens mis en œuvre en matière de stockage, de sauvegarde et de récupération des données. L'intégrité logique se base sur la conservation des données relationnelles dans une base de données.

Pour maintenir l'intégrité des données, des mesures telles que le contrôle d'accès, la sauvegarde régulière, la vérification des données et l'utilisation de techniques de cryptage sont mises en œuvre. En négligeant l'intégrité des données, les risques de corruption, de perte ou de manipulation malveillante augmentent, compromettant ainsi la confiance et la crédibilité des systèmes informatiques.


International Business Machines Corporation, connue sous le sigle IBM, est une société multinationale américaine présente dans les domaines du matériel informatique, du logiciel et des services informatiques. La société est née le 16 juin 1911 de la fusion de la Computing Scale Company et de la Tabulating Machine Company sous le nom de Computing Tabulating Recording Company (CTR). IBM réunit toutes les technologies et tous les services nécessaires, quelle que soit l'origine des solutions, pour aider les clients à résoudre leurs problèmes les plus urgents. Elle fournit aux clients un partenariat de confiance dans leur parcours vers la transformation numérique.


Les CERT (Computer Emergency Response Teams) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Les tâches prioritaires d'un CERT sont multiples. La centralisation des demandes d'assistance à la suite des incidents de sécurité sur les réseaux et les systèmes d'informations. Le traitement des alertes et réaction aux attaques informatiques. L'établissement et maintenance d'une base de donnée des vulnérabilités. La Prévention par diffusion d'informations. La coordination éventuelle avec les autres entités.

A propos de l'auteur

Retour en haut