IBM corrige trois vulnérabilités dans Liberty for Java pour IBM Cloud

Trois failles ont été corrigées dans Liberty for Java pour IBM Cloud. Il s'agit de deux problèmes de divulgation d'informations et une attaque potentielle d'homme de milieu dans Apache CXF, service utilisé par Liberty for Java pour IBM Cloud.

Ces vulnérabilités sont référencées comme suit:

  • CVE-2018-1683 [CVSS 5.9]: L'exploitation d'une vulnérabilité due au non-chiffrement des communications ORB (Object Request Broker) dans IBM WebSphere Application Server Liberty pourrait permettre à un attaquant distant d'obtenir des informations sensibles. 
  • CVE-2018-1755 [CVSS 5.9]: L'exploitation d'une vulnérabilité due au non-chiffrement de communications dans WebSphere Application Server Liberty pourrait permettre à un attaquant distant d'obtenir des informations sensibles. Cette vulnérabilité survient lorsque le serveur d'application est configuré pour utiliser Java Authentication SPI for Containers (JASPIC), autorise des accès sur un port non sécurisé (http) et utilise l'authentification JASPIC ou JSR375. 
  • CVE-2018-8039 [CVSS 7.5]: L'exploitation d'une vulnérabilité dans Apache CXF pourrait permettre à un attaquant distant de mener une attaque d'homme de milieu. Celle-ci est due au mauvais fonctionnement de la vérification du nom d'hôte TLS avec l'interface com.sun.net.ssl, permettant au trafic d'être intercepté.
Informations
+

Impact

  • Atteinte à la confidentialité des données;
  • Divulgation d'informations

Criticité

  • CVSS v3 : 7.5 (Score CVSS de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Cette vulnérabilité impacte toutes les versions de Liberty for Java dans IBM Cloud jusqu’à la v3.24 incluse.

CVE

  • CVE-2018-1683 
  • CVE-2018-1755
  • CVE-2018-8039

Recommandations
+

Correctifs

  • Pour corriger ces failles, il est recommandé de suivre les instructions mentionnées dans l'avis IBM traitant ces vulnérabilités. (cf. Section Liens)

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.