Plusieurs vulnérabilités ont été identifiées dans différents produits IBM. Elles peuvent permettre à un attaquant de bloquer un service à distance, de contourner certaines protections de sécurité ou encore d’accéder et de modifier des données.
Les produits concernés sont : IBM Spectrum Symphony en version 7.3.2 sans le correctif de sécurité sym-7.3.2-build602620, IBM Sterling Connect:Direct FTP+ en versions 1.3.x jusqu’à 1.3.0.3, ainsi que Rational Application Developer (RAD) pour WebSphere Software en version 10.0 sans le correctif Java17SR17FP10, et en versions 9.6 et 9.7 sans le correctif Java8SR8FP55.
Les risques sont variés : atteinte à la confidentialité des données, altération de leur intégrité, possibilité de contourner la politique de sécurité, déni de service à distance et attaques de type injection de code indirecte (XSS).
Les utilisateurs et administrateurs de ces solutions sont invités à vérifier rapidement les versions déployées et à appliquer les correctifs publiés par l’éditeur. Les mises à jour de sécurité sont disponibles via les bulletins techniques et les références de vulnérabilités (CVE) associés.
En pratique, la protection des systèmes passe ici par une mise à jour rigoureuse des logiciels IBM concernés et une vérification des configurations de sécurité en place.
