Risque(s)

  • Exécution de code arbitraire
  • Déni de service à distance
  • Contournement de la politique de sécurité
  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Élévation de privilèges
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

  • IBM DataPower Gateway versions 7.1.x antérieures à 7.1.0.20
  • IBM DataPower Gateway versions 7.2.x antérieures à 7.2.0.17
  • IBM DataPower Gateway versions 7.5.0.x antérieures à 7.5.0.11
  • IBM DataPower Gateway versions 7.5.1.x antérieures à 7.1.10
  • IBM DataPower Gateway versions 7.5.2.x antérieures à 7.2.10
  • IBM DataPower Gateway versions 7.6.x antérieures à 7.6.0.3
  • IBM Cúram Social Program Management (SPM) versions 6.0.5.x antérieures à 6.0.5.10 iFix4
  • IBM Cúram Social Program Management (SPM) versions 6.1.x antérieures à 6.1.1.6 iFix2
  • IBM Cúram Social Program Management (SPM) versions 6.2.x antérieures à 6.2.0.6 iFix2
  • IBM Cúram Social Program Management (SPM) versions 7.0.x antérieures à 7.0.1.3
  • IBM Cúram Social Program Management (SPM) versions 7.x antérieures à 7.0.4.0 iFix1
  • IBM QRadar Network Security versions 5.4.x antérieures à 5.4.0.6
  • IBM QRadar Network Security versions 5.5.x antérieures à 5.5.0.1
  • IBM Voice Gateway versions antérieures à 1.0.0.7a
  • WebSphere Application Server versions antérieures à 9.0.0.10
  • IBM Security SiteProtector System versions 3.1.1.x antérieures à 3.1.1.17
  • IBM Security SiteProtector System versions 3.0.0.x antérieures à 3.0.0.20
  • VRA - Vyatta 5600
  • IBM Social Program Management Design System versions antérieures à 1.4.0
  • IBM Java SDK dans IBM WebSphere Application Server versions 1.0.0.0 à 1.0.0.7 et 2.2.0.0 à 2.2.6.0
  • IBM Lotus Protector for Mail Security version 2.8.3.0
  • IBM Lotus Protector for Mail Security version 2.8.1.0

Résumé

De multiples vulnérabilités ont été découvertes dans les produits IBM. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation