📅 27 Février 2026
L’environnement IBM Rational Developer for i est concerné par une vulnérabilité affectant un composant utilisé dans la fonctionnalité Code Coverage. Contrairement à des failles classiques d’injection ou d’exécution de code, cette alerte touche ici directement la stabilité de l’application via un scénario d’épuisement de ressources mémoire.
👉 Le problème provient d’une dépendance JavaScript intégrée, exposée à une surcharge volontairement mal formée pouvant entraîner un crash du programme.
🔥 CVE-2024-4068 – Memory exhaustion loop (CVSS 7.5)
La vulnérabilité est liée au package NPM braces, dans ses versions antérieures à 3.0.3.
Le cœur du problème se situe dans la gestion des chaînes contenant des accolades déséquilibrées. Lorsqu’une entrée malveillante est injectée dans le parseur (lib/parse.js), celui-ci entre dans une boucle de traitement incorrecte. Au lieu de rejeter rapidement l’entrée invalide, le programme continue à allouer de la mémoire sans jamais libérer les ressources associées.
Progressivement, cette consommation non contrôlée entraîne une saturation du heap JavaScript. Une fois la limite mémoire atteinte, l’application ne peut plus fonctionner correctement et finit par se terminer brutalement.
Ce type de comportement est particulièrement dangereux dans des outils de développement ou d’analyse, car il peut être déclenché de manière répétée et systématique pour provoquer des interruptions de service.
⚠️ Impact observé
Cette vulnérabilité ne permet pas une prise de contrôle directe du système, mais elle peut avoir un impact opérationnel significatif. Elle se manifeste principalement par des ralentissements progressifs, suivis de crashs applicatifs complets.
Dans un contexte comme celui de IBM Rational Developer for i, cela peut perturber des processus de développement, des analyses de couverture de code ou des opérations automatisées, avec un effet domino sur les chaînes de build ou de test.
🛠️ Correction et recommandations
Le correctif officiel consiste à mettre à jour le package braces vers la version 3.0.3 ou supérieure, dans laquelle la gestion des entrées déséquilibrées a été corrigée afin d’éviter les boucles de parsing infinies.
En complément de cette mise à jour, plusieurs mesures sont fortement recommandées :
✔️ Mettre a jour RDi ✔️ Valider strictement les entrées utilisateur avant traitement par les outils de parsing
✔️ Surveiller la consommation mémoire des processus Code Coverage
✔️ Mettre en place des limites de ressources sur les environnements d’exécution
✔️ Éviter l’exposition directe d’outils de parsing à des données non fiables
📌 Conclusion
Cette alerte met en évidence un type de vulnérabilité souvent sous-estimé : les problèmes de consommation de ressources provoqués par des entrées malformées.
Même sans exécution de code à distance, une simple condition mal gérée dans une dépendance comme braces peut suffire à rendre instable un outil critique tel que IBM Rational Developer for i.
👉 Une mise à jour de RDi et un contrôle strict des entrées sont essentiels pour éviter ce type de dégradation de service.
🔗 Lien officiel IBM Security Bulletin 🔗
⚡Agissez maintenant pour sécuriser votre environnement IT avec STR-iCT !
🔐 Restez informé sur les dernières alertes cybersécurité !
