IBM a mis à jour la plate-forme de gestion de données Db2 afin de protéger les utilisateurs contre une paire de vulnérabilités critiques dans les anciennes versions d’Expat, une bibliothèque tierce.

Les deux failles ont obtenu un score CVSS de 9,8 et chacune a potentiellement permis aux attaquants d’exécuter du code arbitraire sur des systèmes vulnérables en raison de problèmes de dépassement d’entier.

Les débordements d’entiers se trouvent dans Expat’s XML_GetBuffer (CVE-2022-23852) et doProlog les fonctions (CVE-2022-23990).

TU POURRAIS AUSSI AIMER Le correctif à chaud pour la vulnérabilité Log4Shell dans AWS a permis une prise de contrôle complète de l’hôte

S’ils sont exploités, les bogues « pourraient entraîner la divulgation d’informations sensibles, l’ajout ou la modification de données, ou un déni de service (DoS) », selon en relation avis de NetApp, qui travaille sur des correctifs pour plusieurs de ses propres produits vulnérables.

IBM Db2 n’est que l’un des de nombreux produits d’entreprise ce bundle Expat (alias libexpat), une bibliothèque C pour l’analyse XML qui remonte à 1997 et « excelle avec des fichiers trop volumineux pour contenir de la RAM, et où les performances et la flexibilité sont cruciales », selon ses responsables.

Correctifs en aval

Les mainteneurs d’Expat ont corrigé les failles de version 2.4.4qui a chuté le 30 janvier 2022.

Les bogues affectent les versions 9.7.x, 10.1.x, 10.5.x et 11.1.x de Db2.

IBM a conseillé aux clients exécutant des niveaux de groupe de correctifs vulnérables de télécharger une version spéciale correspondante contenant un correctif provisoire. « Ces versions spéciales sont disponibles en fonction du niveau de fixpack le plus récent pour chaque version concernée : V9.7 FP11, V10.1 FP6, V10.5 FP11 et V11.1.4 FP6 », lit un IBM bulletin de sécurité publié le 20 avril.

Les failles Expat ont également incité des mises à jour du Solution Oracle Communications MetaSolv et Red Hat Enterprise Linux.

Pulse Secure a sorties programmées résoudre les problèmes pour un certain nombre de produits, notamment Pulse Desktop Client, Pulse Connect Secure et Ivanti Connect Secure, et étudie toujours si certains autres produits sont également vulnérables.

Il y a eu d’autres avis connexes de la distribution Linux UbuntuCisco par rapport à ses Série 8000 de caméras de vidéosurveillance, et Dell EMC concernant ses VxRail appliances d’infrastructure hyperconvergée (stockage).