Failles corrigées par IBM sur son système XIV

Premier Ministre
S.G.D.S.N
Agence nationale de la sécurité des systèmes d’information
CERTA
Affaire suivie par: CERTA

Paris, le 22 octobre 2012

No CERTA-2012-AVI-594

Avis du CERTA

• Objet: Multiples vulnérabilités dans IBM XIV Storage System
• Conditions d’utilisation de ce document
• Dernière version de ce document

Gestion du document

• Référence: CERTA-2012-AVI-594
• Titre: Multiples vulnérabilités dans IBM XIV Storage System
• Date de la première version: 22 octobre 2012
• Source(s): Bulletin de sécurité IBM ssg1S1004216 du 18 octobre 2012, Bulletin de sécurité IBM ssg1S1004217 du 18 octobre 2012, Bulletin de sécurité IBM ssg1S1004218 du 18 octobre 2012, Bulletin de sécurité IBM ssg1S1004219 du 18 octobre 2012
  Risques: Atteinte à l’intégrité des données; atteinte à la confidentialité des données.
• Systèmes affectés: IBM XIV Storage System versions antérieures à 10.2.4.c, IBM XIV Storage System versions antérieures à 10.2.4.e, IBM XIV Storage System versions antérieures à 11.0.1.a, IBM XIV Storage System versions antérieures à 11.1.1

Résumé
De multiples vulnérabilités ont été corrigées dans IBM XIV Storage System. La plus critique concerne une clef faible pour un certificat OpenSSL. La clef a été générée sur un système Debian qui était exposé à un problème d’entropie lors de sa génération.

Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité IBM ssg1S1004216 du 18 octobre 2012
• Bulletin de sécurité IBM ssg1S1004217 du 18 octobre 2012
• Bulletin de sécurité IBM ssg1S1004218 du 18 octobre 2012
• Bulletin de sécurité IBM ssg1S1004219 du 18 octobre 2012
• Référence CVE CVE-2008-0166
• Référence CVE CVE-2012-2167
• Référence CVE CVE-2012-2187
• Référence CVE CVE-2008-5161