Bulletin de Sécurité IBM du 02 Juillet 2024

IBM corrige de multiples Vulnérabilités dans son Bulletin de Sécurité IBM publié le 02 Juillet 2024.

IBM a publié un bulletin de sécurité concernant des vulnérabilités dans IBM WebSphere Application Server Liberty et IBM Tivoli Application Dependency Discovery Manager (TADDM).

Les vulnérabilités corrigées incluent CVE-2024-22354, CVE-2024-25026, CVE-2024-27268 et CVE-2023-51775. Ces failles peuvent entraîner une exécution de code arbitraire, un déni de service (DoS) et une divulgation d’informations sensibles. Les versions concernées de TADDM sont 7.3.0.0 à 7.3.0.11. La mise à jour vers WebSphere Application Server Liberty version 24.0.0.6 est recommandée.

Vulnérabilités et Impacts

CVE-2024-22354

Date : 2024
Gravité : 7.0 (CVSS)
Description : Injection d’entités XML externes (XXE) dans WebSphere Application Server, menant à la divulgation d’informations sensibles, consommation de mémoire, ou attaque SSRF.
Impact : Exposition d’informations sensibles, consommation de mémoire, attaques SSRF.

CVE-2024-25026

Date : 2024
Gravité : 5.9 (CVSS)
Description : Vulnérabilité de déni de service (DoS) dans WebSphere Application Server causée par une requête spécialement conçue.
Impact : Consommation excessive de mémoire, entraînant un Déni de Service à Distance (DoS).

CVE-2024-27268

Date : 2024
Gravité : 5.9 (CVSS)
Description : Vulnérabilité de DoS dans WebSphere Application Server Liberty par requête spécialement conçue.
Impact : Consommation de ressources mémoire, causant un Déni de Service à Distance (DoS).

CVE-2023-51775

Date : 2023
Gravité : 7.5 (CVSS)
Description : Vulnérabilité due à une validation incorrecte des entrées dans jose4j, permettant un Déni de Service à Distance (DoS).
Impact : Déni de service via valeurs p2c spécialement conçues.

Produits et Versions Concernés

Produit : IBM Tivoli Application Dependency Discovery Manager
Versions : 7.3.0.0 à 7.3.0.11

Résolution

Pour corriger ces vulnérabilités, WebSphere Application Server Liberty doit être mis à jour vers la version 24.0.0.6. Des correctifs peuvent être téléchargés et appliqués directement.

Références

Bulletin de sécurité IBM
Avis du CERT-FR du 05 Juillet 2024

A propos de l'auteur

Retour en haut