Bonjour à tous et à toutes, aujourd’hui nouveau bulletin de sécurité publié par IBM qui concerne l’implémentation de IBM Java SDK et IBM Java Runtime for IBM i. Pour simple rappel on parle ici de la machine virtuelle Java est de son plug-in requis pour l’exécution de ses programmes.
Le bulletin est composé de 6 failles qui pourraient compromettre la confidentialité des utilisateurs. Ces failles possèdent des scores CVS variants de 4.7 pour les plus basses, à 7.5 pour la plus dangereuses et sont pour la plupart due a un composant externe au programme.
Par ce bulletin d’alerte, IBM nous communique donc l’identification de 2 vulnérabilités d’indice 5.9 dans la Java SE liait aux 2 composants VM et Scripting et on retrouve également une autre faille d’indice 4.7 sur ce même composant VM.
Par ailleurs ils ont aussi découvert 2 failles d’indice CVSS 7.4 dont l’une se situe sur le VM comme ses prédécesseurs et une autre sur le composant Security.
Enfin la faille la plus importante est un peu différente de ce qui à été vu jusque là car elle concerne IBM GSKit-Crypto. En effet le kit pourrait permettre à un attaquant distant d’obtenir des informations sensibles, en raison d’un canal latéral basé sur le temps dans l’implémentation du décryptage RSA. En envoyant un nombre trop important de messages d’essai pour le décryptage, un attaquant pourrait exploiter cette vulnérabilité pour obtenir des informations sensibles.
IBM recommande à tous les utilisateurs qui utilisent des versions non prises en charge des produits concernés d’effectuer une mise à niveau vers des versions prises en charge et corrigées de ces même produits
Enfin si vous exécutez votre propre code Java à l’aide de l’IBM Java Runtime livré avec ce produit, vous devriez l’évaluez vous-mêmes afin de déterminer si d’autres vulnérabilités s’appliquent à votre code.
Pour obtenir une liste complète des vulnérabilités existantes reportez-vous au document suivant « IBM Java SDK Security Vulnerabilities », situé dans la section Références de la page de la vulnérabilité que vous pouvez retrouver ici :
https://lnkd.in/exxCBw5r
