IBM Notes affecté par de multiples vulnérabilités identifiées dans le SDK JAVA d’IBM

Plusieurs vulnérabilités ont été identifiées sur les versions 6 SR16FP45 et 8 SR4FP5 du SDK Java d’IBM, ce qui affecte l’application de messagerie IBM Notes. Ces vulnérabilités ont été corrigées au travers des mises à jour du SDK Java.

Ces vulnérabilités permettent à un attaquant non-authentifié et ayant obtenu au préalable un accès au réseau d’obtenir le contrôle de l’application.

Ces vulnérabilités concernent les déploiements de Java, comme par exemple des applications Java Web Start ou des applets Java qui chargent et exécutent du code provenant d’une source non fiable. De ce fait, l’exploitation de ces vulnérabilités nécessite une interaction humaine pour accepter l’exécution du programme.

Certaines vulnérabilités sont aussi exploitables via des APIs ou des services web.

Informations
+

Impact

  • Déni de service
  • Exécution de code arbitraire à distance

Criticité

Importante

Existence d’un code d’exploitation de la vulnérabilité

Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • IBM Notes Standard Client, version 9.0.1 à 9.0.1 FP9
  • IBM Notes Standard Client, version 8.5.3 à 8.5.3 FP6 IF15
  • Toutes les versions 9.0,x, 9.0, 8.5.x et 8.5 d’IBM Notes antérieures à celles citées ci-dessus.

CVE

  • CVE-2017-10053
  • CVE-2017-10067
  • CVE-2017-10074
  • CVE-2017-10078
  • CVE-2017-10081
  • CVE-2017-10087
  • CVE-2017-10089
  • CVE-2017-10090
  • CVE-2017-10096
  • CVE-2017-10101
  • CVE-2017-10102
  • CVE-2017-10105
  • CVE-2017-10107
  • CVE-2017-10108
  • CVE-2017-10109
  • CVE-2017-10110
  • CVE-2017-10111
  • CVE-2017-10115
  • CVE-2017-10116
  • CVE-2017-10125
  • CVE-2017-10243

Recommandations
+

Correctifs

Des correctifs JAVA ont été publiés pour corriger ces vulnérabilités.

Ils sont disponibles sur les liens suivants :

Solution de contournement

Il n’existe pas actuellement de solution de contournement.

Pour minimiser les risques d’exploitation, il est toutefois recommandé d’éviter toute exécution de code d’application Java provenant de sources non fiables.