IBM corrige plusieurs vulnérabilités importantes dans IBM Java SDK et Runtime Environments

IBM a corrigé plusieurs vulnérabilités dans IBM Java SDK, IBM Runtime Environments Java Technology Edition. L'exploitation de ces vulnérabilités permettrait d'exécuter du code malicieux ou encore de provoquer une traversée de chemin. Les vulnérabilités sont référencées comme suit :

  • CVE-2018-1656 [CVSS 7.4] : une vulnérabilité de type traversée de chemin dans "Diagnostic Tooling Framework for Java (DTFJ)" lors de l'extraction de fichiers temporaires compressés. L'exploitation de cette vulnérabilité pourrait permettre l'intégrité des fichiers présents sur le système.
  • CVE-2018-12539 [CVSS 8.4] : une vulnérabilité due à des restrictions insuffisantes dans l'usage de l'API Java Attach. L'exploitation de cette vulnérabilité permettrait une exécution de code privilégiée dans Eclipse OpenJ9. 

IBM a corrigé 3 vulnérabilités non spécifiées dans IBM Runtime Environments. L'exploitation de ces dernières a un impact sur l'intégrité, la disponibilité et la confidentialité de l'information traitée.

Informations
+

Risques

  • Exécution de code natif
  • Atteinte à la confidentialité
  • Atteinte à l'intégrité
  • Atteinte à la disponibilité

Criticité

  • CVSS v3 : 8.4 - score de la vulnérabilité la plus critique

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • IBM Algo Credit Manager versions 5.4.2 et 5.4.3
  • Les versions 9.0.0 -9.0.0.3 et 8.4.1 - 8.4.1.5 des produits suivants :
    • Transformation Extender Design Studio
    • Transformation Extender with Command Server
    • Transformation Extender for Integration Servers
    • Transformation Extender for Application Programming
    • Transformation Extender with Launcher

CVE

  • CVE-2018-1656
  • CVE-2018-12539
  • CVE-2018-2602
  • CVE-2018-2783
  • CVE-2018-2800

Recommandations
+

Correctifs

  • IBM SDK, Java Technology Edition
  • IBM Runtime Environments Java Technology Edition versions 
    • Un correctif PH01401 a été publié

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.