IBM corrige des vulnérabilités non spécifiées dans l'environnement Java affectant DataPower Gateway

IBM a corrigé plusieurs vulnérabilités dans les versions 7, 7R1 et 8 d'IBM Runtime Environment Java utilisées par IBM DataPower Gateway. L'éditeur s'est contenté de préciser que les vulnérabilités corrigées concernaient le composant Java SE Security.

Toutes les vulnérabilités sont exploitables à distance par un attaquant.

La vulnérabilité la plus grave impacte la confidentialité et l'intégrité des données. Les cinq autres vulnérabilités n'impactent que faiblement la disponibilité.

Informations
+

Risques

  • Atteinte à la confidentialité
  • Atteinte à la disponibilité
  • Atteinte à l'intégrité

Criticité

  • CVSS v3 : 7.4 (score de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation des vulnérabilités n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • IBM DataPower Gateway 7.1.0.0 – 7.1.0.22
  • IBM DataPower Gateway 7.2.0.0 – 7.2.0.20
  • IBM DataPower Gateway 7.5.0.0 – 7.5.0.16
  • IBM DataPower Gateway 7.5.1.0 – 7.5.1.15
  • IBM DataPower Gateway 7.5.2.0 – 7.5.2.15
  • IBM DataPower Gateway 7.6.0.0 – 7.6.0.8

CVE

  • CVE-2018-2783
  • CVE-2018-2799
  • CVE-2018-2798
  • CVE-2018-2797
  • CVE-2018-2796
  • CVE-2018-2795

Recommandations
+

Correctifs

  • La vulnérabilité est corrigée à partir des versions 7.1.0.23, 7.2.0.21, 7.5.0.17, 7.5.1.16, 7.5.2.16, 7.6.0.9, 7.7.1.3

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.