AVIS CERTFR - 2018 - AVI - 539

AVIS CERT
CERT-FR

Publié le 12 novembre 2018 à 18h06

Objet : Multiples vulnérabilités dans les produits IBM

Référence : CERTFR-2018-AVI-539

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)

Systèmes affectés

- IBM Spectrum Protect (formerly Tivoli Storage Manager) for Virtual Environments: Data Protection for VMware versions 8.1.x antérieures à 8.1.6.1
- IBM Spectrum Protect (formerly Tivoli Storage Manager) for Virtual Environments: Data Protection for VMware versions 7.1.x antérieures à 7.1.8.4
- IBM Spectrum Protect (formerly Tivoli Storage Manager) for Virtual Environments: Data Protection for Hyper-V versions 8.1.x antérieures à 8.1.6.1
- IBM Case Manager versions 5.3.x antérieures à 5.3.3.0-ICM-IF003
- IBM Case Manager versions 5.2.1.x antérieures à 5.2.1.7-ICM-IF004
- IBM Case Manager versions antérieures à 5.2.0.4-ICM-IF003
- IBM Connections 6.0 versions antérieures à 6.0 CR3 et sans le correctif temporaire APAR LO94099
- IBM Connections 5.5 versions antérieures à 5.5 CR3 et sans le correctif temporaire APAR LO94099
- IBM Connections 5.0 versions antérieures à 5.0 CR4 et sans le correctif temporaire APAR LO94099
- IBM WebSphere versions 9.0, 8.5, 8.0 et 7.0
- AIX versions 5.3, 6.1, 7.1 et 7.2
- VIOS versions 2.2.x
- IBM Spectrum Protect (formerly Tivoli Storage Manager) Client versions 8.1.x antérieures à 8.1.6.1
- IBM Spectrum Protect (formerly Tivoli Storage Manager) Client versions 7.1.x antérieures à 7.1.8.3
- IBM Spectrum Protect for Virtual Environments (formerly Tivoli Storage for Virtual Environments): Data Protection for Hyper-V versions 7.1.x antérieures à 7.1.8.4
- IBM Contact Optimization versions 9.1.0.x antérieures à 9.1.0.12
- IBM Contact Optimization versions 9.1.2.x antérieures à 9.1.2.5
- IBM MQ versions V8, V9 LTS, V9 CD, V9.1 LTS

Résumé

De multiples vulnérabilités ont été découvertes dans les produits IBM. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité IBM ibm10739391 du 09 novembre 2018

https://www-01.ibm.com/support/docview.wss?uid=ibm10739391

- Bulletin de sécurité IBM ibm10737897 du 09 novembre 2018

https://www-01.ibm.com/support/docview.wss?uid=ibm10737897

- Bulletin de sécurité IBM ibm10737761 du 09 novembre 2018

https://www-01.ibm.com/support/docview.wss?uid=ibm10737761

- Bulletin de sécurité IBM ibm10739387 du 09 novembre 2018

https://www-01.ibm.com/support/docview.wss?uid=ibm10739387

- Bulletin de sécurité IBM ibm10730703 du 09 novembre 2018

http://www-01.ibm.com/support/docview.wss?uid=ibm10730703

- Bulletin de sécurité IBM ibm10737709 du 09 novembre 2018

https://www-01.ibm.com/support/docview.wss?uid=ibm10737709

- Bulletin de sécurité IBM ibm10738765 du 09 novembre 2018

https://www-01.ibm.com/support/docview.wss?uid=ibm10738765

- Bulletin de sécurité IBM ibm10738677 du 09 novembre 2018

https://www-01.ibm.com/support/docview.wss?uid=ibm10738677

- Bulletin de sécurité IBM ibm10734447 du 10 novembre 2018

https://www-01.ibm.com/support/docview.wss?uid=ibm10734447

- Référence CVE CVE-2018-1553

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1553

- Référence CVE CVE-2018-1884

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1884

- Référence CVE CVE-2018-3009

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3009

- Référence CVE CVE-2018-3092

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3092

- Référence CVE CVE-2018-3094

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3094

- Référence CVE CVE-2018-3093

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3093

- Référence CVE CVE-2018-3096

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3096

- Référence CVE CVE-2018-3098

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3098

- Référence CVE CVE-2018-3010

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3010

- Référence CVE CVE-2018-3095

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3095

- Référence CVE CVE-2018-3097

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3097

- Référence CVE CVE-2018-3099

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3099

- Référence CVE CVE-2018-3102

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3102

- Référence CVE CVE-2018-3104

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3104

- Référence CVE CVE-2018-3103

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3103

- Référence CVE CVE-2018-2992

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2992

- Référence CVE CVE-2018-2768

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2768

- Référence CVE CVE-2018-2801

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2801

- Référence CVE CVE-2018-2806

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2806

- Référence CVE CVE-2018-1656

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1656

- Référence CVE CVE-2018-12539

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12539

- Référence CVE CVE-2018-1798

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1798

- Référence CVE CVE-2018-6922

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6922

- Référence CVE CVE-2018-1786

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1786

- Référence CVE CVE-2016-8610

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8610

- Référence CVE CVE-2018-1792

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1792

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-539/