S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 17 avril 2009 No CERTA-2009-AVI-151

Affaire suivie par :

CERTA

Objet : Multiples vulnérabilités dans IBM BladeCenter Advanced Management Module

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

• Atteinte à la confidentialité des données ;
• injection de code indirecte ;
• injection de requêtes illégitime par rebond.

2 Systèmes affectés

IBM BladeCenter Advanced Management Module firmware 1.x.

3 Résumé

De multiples vulnérabilités ont été corrigées dans le microgiciel IBM BladeCenter Advanced Management Module.

4 Description

Plusieurs vulnérabilités ont été corrigées dans IBM BladeCenter Advanced Management Module. Ces vulnérabilités permettent à une personne malintentionnée d'effectuer des injections de code indirectes (xss), des injections de requêtes illégitimes par rebond (csrf) et/ou de porter atteinte à la confidentialité de certaines données.

5 Solution

La mise à jour du microgiciel en version 1.42U corrige les problèmes.

6 Documentation

• Obtention et liste des modifications du Firmware v1.42U (BPET42U) :

  http://www-947.ibm.com/systems/support/supportsite.wss/docdisplay?Indocid=MIGR-5076204&brandind=5000020
  

• Obtention et liste des modifications du Firmware v1.42U (BBET42U) :

  http://www-947.ibm.com/systems/support/supportsite.wss/docdisplay?Indocid=MIGR-5076206&brandind=5000020
  

• Référence CVE CVE-2009-1288 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1288
  

• Référence CVE CVE-2009-1289 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1289
  

• Référence CVE CVE-2009-1290 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1290
  

Gestion détaillée du document

17 avril 2009

version initiale.