IBM a publié récemment un bulletin de sécurité majeur concernant principalement Node.js et la bibliothèque OpenSSL. Dans cette première partie, nous allons nous concentrer sur les failles liées à Node.js, tandis qu’une seconde partie couvrira celles concernant OpenSSL.
🛠️ Node.js sur IBM i : Principales vulnérabilités
Sur IBM i, Node.js est utilisé principalement comme runtime & SDK pour les applications Apache Cordova dans le RDI (RPG, COBOL + Modernization Tools, Java Edition). Voici les 5 failles critiques à connaître :
1️⃣ Fuite d’informations sensibles : Node.js permet à un attaquant distant d’exploiter une vulnérabilité dans l’API privateDecrypt() de la bibliothèque cryptographique. Un attaquant peut réaliser un canal latéral de synchronisation caché pendant la gestion des erreurs, ce qui permettrait d’obtenir des informations sensibles.
Score CVSS : 5.3.
2️⃣ Contrebande de requêtes HTTP : Grâce à l’obscurcissement de la longueur du contenu, un attaquant peut envoyer des en-têtes de requêtes spécialement conçus pour empoisonner le cache web, contourner la protection du pare-feu et mener des attaques XSS.
Score CVSS : 5.9.
3️⃣ Déni de service : Une vulnérabilité permet à un attaquant d’exploiter une erreur de lecture de requêtes HTTP non traitées avec une extension de tronçon non limitée. Cela peut entraîner une épuisement des ressources système.
Score CVSS : 7.5.
4️⃣ Échec d’assertion HTTP/2 : En envoyant une petite quantité de paquets HTTP/2 malformés, un attaquant peut provoquer un crash du serveur HTTP/2.
Score CVSS : 7.5.
5️⃣ Privilèges élevés pour les attaquants locaux : Un attaquant local authentifié peut exploiter un problème dans l’implémentation de l’exception CAP_NET_BIND_SERVICE pour injecter du code avec des privilèges élevés, compromettant ainsi le système.
Score CVSS : 7.8.
🔧 Rémédiation : Comment corriger ces failles ?
Pour corriger ces failles, il vous suffit de mettre à jour votre version de Node.js. Consultez la rubrique Rémédiation/Fixes pour plus de détails sur l’application des correctifs.
📑 Détails complets et mises à jour sur la sécurité
Retrouvez l’ensemble des failles et leur résolution sur le site officiel du support IBM : Lien vers le support IBM
⚡ Agissez maintenant pour sécuriser votre environnement IT avec STR-iCT
🔐 Restez informé des dernières alertes cybersécurité ! 🚀
