Deux failles critiques corrigées dans Aix d'IBM

Le système d'exploitation Aix basé sur Unix d'IBM est vulnérable à une exécution de commandes arbitraires. Deux failles critiques dont l'une à la sévérité maximale de 10 ont été corrigées. Patchs ou solutions de contournement sont à appliquer dès que possible.

Déjà vulnérable en janvier dernier à une commande invscout pouvant donner à un utilisateur local ne disposant pas d'accès à privilèges la capacité d'exécuter des commandes arbitraires, le système d'exploitation Aix d'IBM basé sur Unix est encore touché par des failles. Dans un bulletin d'alerte, big blue a indiqué que son OS était en effet touché par deux brèches de sécurité critiques identifiés en tant que CVE-2024-56346 et CVE-2024-56347. Le premier, au score CVSS - assez rare - de 10 n'est pas à prendre à la légère et affecte le service maître nimesis NIM d'Aix donnant la possibilité à un attaquant distant d'exécuter des commandes arbitraires en raison de contrôles de processus inappropriés. Le second, dont le score CVSS est aussi très élevé (9,6) concerne cette fois les mécanismes de protection SSL/TLS du service nimsh et peut entraîner le même risque à cause d'un mauvais contrôle des processus. Les versions 7.2 et 7.3 d'Aix sont concernées.

Suite à cette découverte, IBM recommande vivement aux entreprises de remédier dès maintenant à ces vulnérabilités en appliquant les correctifs disponibles à cette adresse. "Si possible, il est recommandé de créer une sauvegarde mksysb du système. Vérifiez qu'elle est à la fois amorçable et lisible avant de poursuivre", prévient le fournisseur qui apporte des précisions sur la procédure pour :

Prévisualiser l'installation d'un correctif :

installp -a -d fix_name -p all # where fix_name is the name of the

# fix package being previewed.

Installer un package de correctifs :

installp -a -d fix_name -X all # where fix_name is the name of the

# fix package being installed.

Des patchs provisoires ayant fait l'objet de tests fonctionnels et de régression limités - mais pas de tests de régression complets réalisés pour les Service Packs - sont aussi proposés. La documentation relative à la gestion des correctifs provisoires est disponible ici.

Pour prévisualiser l'installation d'un correctif provisoire :

emgr -e ipkg_name -p # where ipkg_name is the name of the

# interim fix package being previewed.

Pour installer un package de correctifs provisoires :

emgr -e ipkg_name -X # where ipkg_name is the name of the

# interim fix package being installed.

Sur le même thème

Partenaires

Deux failles critiques corrigées dans Aix d'IBM

Livres blancs

Commentaire

Suivre toute l'actualité

Newsletter