Bulletin de sécurité : IBM PowerHA SystemMirror pour IBM i est vulnérable à de multiples vulnérabilités dans l’interface Web PowerHA.
L’interface Web PowerHA permet de gérer facilement les opérations PowerHA à partir d’un navigateur Web.
L’interface Web d’IBM PowerHA SystemMirror pour IBM i est vulnérable à l’obtention de valeurs de cookies (CVE-2024-55897) et au détournement des clics des utilisateurs (CVE-2024-55896), comme décrit dans la section sur les détails de la vulnérabilité. Ce bulletin identifie les failles et ces différentes étapes à suivre pour les corriger.
[CVE-2024-55897] Score CVSS : 5.4
IBM PowerHA SystemMirror for i contient des restrictions inappropriées lors du rendu de contenu via des iFrames. Cette vulnérabilité pourrait permettre à un attaquant d’obtenir un accès inapproprié et d’effectuer des actions non autorisées sur le système.
[CVE-2024-55896] Score CVSS : 4.3
IBM PowerHA SystemMirror for IBM i ne définit pas l’attribut sécurisé sur les jetons d’autorisation ou les cookies de session. Les attaquants peuvent être en mesure d’obtenir les valeurs des cookies en envoyant un lien http:// à un utilisateur ou en plaçant ce lien sur un site sur lequel l’utilisateur se rend. Le cookie sera envoyé au lien non sécurisé et l’attaquant pourra alors obtenir la valeur du cookie en espionnant le trafic.
Les numéros de PTF pour IBM i 5770-HAS contiennent la correction de ces vulnérabilités.
À noter que ces PTF ne concernent que les versions 7.5 et 7.4 d’IBM i.
Afin d’obtenir de plus amples informations sur le bulletin d’alerte voici un lien qui redirige sur la publication officielle du site support : https://lnkd.in/eDyADKz9