Multiples vulnérabilités dans IBM Cognos

Gestion du document

Référence	CERTFR-2023-AVI-0263
Titre	Multiples vulnérabilités dans IBM Cognos
Date de la première version	27 mars 2023
Date de la dernière version	27 mars 2023
Source(s)	Bulletin de sécurité IBM 6965290 du 24 mars 2023
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque(s)

Contournement de la politique de sécurité
Déni de service à distance
Exécution de code arbitraire à distance

Systèmes affectés

IBM Cognos Analytics versions 11.2.x antérieures à 11.2.4 Fix Pack 1
IBM Cognos Analytics versions 11.1.x antérieures à 11.1.7 Fix Pack 6

Résumé

De multiples vulnérabilités ont été découvertes dans IBM Cognos. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité, un déni de service à distance et une exécution de code arbitraire à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité IBM 6965290 du 24 mars 2023
https://www.ibm.com/support/pages/node/6965290
Référence CVE CVE-2020-7598
https://www.cve.org/CVERecord?id=CVE-2020-7598
Référence CVE CVE-2020-7789
https://www.cve.org/CVERecord?id=CVE-2020-7789
Référence CVE CVE-2021-44906
https://www.cve.org/CVERecord?id=CVE-2021-44906
Référence CVE CVE-2022-40664
https://www.cve.org/CVERecord?id=CVE-2022-40664

Avis du CERT-FR

Objet: Multiples vulnérabilités dans IBM Cognos