10 décembre 2024 Alerte Sécurité IBM i : RDi (10/12/2024)

Un nouveau bulletin de vulnérabilités qui concerne l’environnement de développement intégré Rational Developer for i vient d’être publié par IBM.

Le RDi contient la fonctionnalité Code Coverage qui est affectée par les deux problèmes suivants. CVE-2024-47554, une attaque par déni de service dans le module PDF Exporter de Code Coverage et CVE-2024-45801, une attaque par exécution à distance dans le second module : Reports.

[CVE-2024-47554]
La première faille concerne la bibliothèque open-source Apache Commons IO. Apache Commons IO fournit un ensemble d’outils pratiques pour travailler avec les opérations d’entrées-sorties (IO) en Java. Cela inclut la gestion des fichiers, des répertoires, des flux de données (streams), et des opérations courantes, souvent nécessaires, mais répétitives dans les projets. Le module PDF Exporter de Code Coverage utilise cette bibliothèque dans ses programmes et comme cette bibliothèque contient une vulnérabilité causée par une faille de consommation de ressources non contrôlée dans la classe org.apache.commons.io.input.XmlStreamReader celle-ci pourrait générer un déni de service si un attaquant distant envoi une entrée spécialement conçue afin de s’allouer des ressources sans limite. Le score CVSS de cette vulnérabilité est de 5.3.

[CVE-2024-45801]
La seconde faille provient de l’inefficacité de la bibliothèque JavaScript DOMPurify sur des expressions régulières. DOMPurify est une bibliothèque JavaScript légère qui permet de filtrer le contenu HTML inséré dynamiquement dans une page Web, en supprimant ou en neutralisant les éléments et attributs potentiellement dangereux (attaque XSS…). Une faille de pollution de prototype dans la vérification de la profondeur dans DOMPurify pourrait permettre à un attaquant distant d’exécuter du code arbitraire sur le système. En ajoutant ou en modifiant des propriétés d’Object.prototype à l’aide d’une charge utile proto ou d’un constructeur, un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire ou provoquer un déni de service sur le système. Le score CVSS de cette vulnérabilité est de 7.3.

Ces 2 failles peuvent être corrigées en chargeant le correctif provisoire 9.8.0.3 de RDi.
Au sein d’i.Gayte.IT, nous l’avons installé sans difficulté, la capture d’écran ci-jointe contient les manipulations afin d’installer le correctif d’RDi.

Pour plus de détail sur l’alerte voici un lien qui redirige sur la publication officielle du bulletin sur le site support :
https://www.ibm.com/support/pages/node/7178267

Posté dans