IBM corrige des vulnérabilités sur les produits utilisant IBM JAVA SDK

IBM a publié une série de 6 nouveaux bulletins de sécurité suite à une vulnérabilité sur des composants Java affectant ses produits. Parmi les vulnérabilités corrigées, 1 est considérée comme critique, 2 sont considérées comme importantes, 2 autres comme moyennes et une comme étant mineure.

L'impact sur la disponibilité, l'intégrité et la confidentialité des données est élevé. En effet, bien que l'exploitation de la vulnérabilité critique soit complexe à mettre en oeuvre, elle peut être réalisée à distance, ne nécessite ni privilège, ni interaction avec un utilisateur.

L'exploitation des 2 vulnérabilités importantes nécessite une interaction avec un utilisateur, mais l'impact sur la disponibilité, l'intégrité et la confidentialité des données reste tout de même élevé.

Dans cette série de bulletins, les vulnérabilités des composants Java affectent les produits suivants :

• IBM Monitoring 8.1.3
• IBM Application Diagnostics 8.1.3
• IBM Application Performance Management 8.1.3
• IBM Application Performance Management Advanced 8.1.3
• IBM Cloud Application Performance Management, Base Private 8.1.4
• IBM Cloud Application Performance Management, Advanced Private 8.1.4
• IBM Cloud Application Performance Management

Aucune des vulnérabilités identifiées n'a été exploitée.

Détails Techniques :

Les vulnérabilités les plus critiques ont été référencées comme suit :

• CVE-2019-3149 [CVSS V3 8.3] : Une vulnérabilité dans les composants Java SE, Java SE Embedded, JRockit d'Oracle Java SE (sous-composant : Scripting) pourrait permettre à un attaquant de prendre le contrôle du système. Les versions Java affectées sont Java SE: 6u201, 7u191, 8u182 and 11; Java SE Embedded: 8u181; JRockit: R28.3.19. Bien que difficile à exploiter, la vulnérabilité permettrait à un attaquant non authentifié de compromettre Java SE, Java SE Embedded, JRockit et qui peut avoir un impact significatif sur les produits IBM. Son exploitation nécessite une interaction avec un utilisateur.
  • Remarque : Cette vulnérabilité s'applique aux déploiements Java dans les clients exécutant des applications Java Web Start ou des applets Java sandbox (dans Java SE 8), qui chargent et exécutent du code non fiable (par exemple, du code provenant d'Internet) et s'appuient sur le sandbox Java pour la sécurité. Cette vulnérabilité peut également être exploitée en utilisant des API dans le composant spécifié, par exemple par le biais d'un service Web qui fournit des données aux API.

• CVE-2018-3169 [CVSS V3 8.3] : Une vulnérabilité dans les composants Java SE, Java SE Embedded d'Oracle Java SE (sous-composant : Hotspot) pourrait permettre à un attaquant de prendre le contrôle du système. Les versions Java affectées sont Java SE : 7u191, 8u182 et 11 ; Java SE Embedded : 8u181. Bien que difficile à exploiter, la vulnérabilité permet à un attaquant non authentifié de compromettre Java SE, Java SE Embedded, JRockit et qui peut ensuite avoir un impact significatif sur les produits IBM. Son exploitation nécessite une interaction avec un utilisateur. 
  • Remarque : Cette vulnérabilité s'applique aux déploiements Java dans les clients exécutant des applications Java Web Start ou des applets Java sandbox (dans Java SE 8), qui chargent et exécutent du code non fiable (par exemple, du code provenant d'Internet) et s'appuient sur le sandbox Java pour la sécurité. Cette vulnérabilité ne s'applique pas aux déploiements Java sur des serveurs, qui chargent et exécutent uniquement du code de confiance (par exemple, du code installé par un administrateur).

• CVE-2018-3183 [CVSS V3 9.0] : Une vulnérabilité dans les composants Java SE, Java SE Embedded, JRockit d'Oracle Java SE (sous-composant : Scripting) pourrait permettre à un attaquant de prendre le contrôle du système. Les versions Java affectées sont Java SE : 8u182 et 11 ; Java SE Embedded : 8u181 ; JRockit : R28.3.19. Bien que difficile à exploiter, la vulnérabilité permettrait à un attaquant non authentifié de compromettre Java SE, Java SE Embedded, JRockit et qui peut ensuite avoir un impact significatif sur les produits IBM. 
  • Remarque : Cette vulnérabilité s'applique aux déploiements Java dans les clients exécutant des applications Java Web Start ou des applets Java sandbox (dans Java SE 8), qui chargent et exécutent du code non fiable (par exemple, du code provenant d'Internet) et s'appuient sur le sandbox Java pour la sécurité. Cette vulnérabilité peut également être exploitée en utilisant des API dans le composant spécifié, par exemple par le biais d'un service Web qui fournit des données aux API.