Nouveau bulletin de sécurité qui vient de tomber en ce début février 2024 ! En effet il s’avère qu’une multitude de vulnérabilités sont présentes dans IBM® Runtime Environnement java™ Version 8 utilisé par IBM Installation manager et IBM Packaging utility.
Tout d’abord une vulnérabilité non spécifiée dans Java SE liée au composant JSSE pourrait permettre à un attaquant distant de causer un impact sur la confidentialité, sur l’intégrité ou sur la disponibilité de votre service.
On note aussi que la machine virtuelle Java « Eclipse OpenJ9 » est vulnérable à un déni de service. Celui-ci peut être causé par une faille lorsqu’un signal d’arrêt (SIGTERM, SIGINT ou SIGHUP) est reçu avant que la JVM (Java Virtual Machine) n’ait fini de s’initialiser. En envoyant une requête spécifiquement conçue, un attaquant local authentifié peut exploiter cette vulnérabilité pour provoquer un blocage infini sur un spinlock ou une erreur de segmentation.
Il est important de noter que IBM Installation Manager est notamment utilisé par les anciennes versions de RDI (jusqu’à la 9.6 comprise) et donc qu’il est encore plus important de passer à la version 9.8.
Alors même si les scores CVSS de base sont « bas » (5.3 pour java SE et 4.1 concernant la JVM), Gayte.IT et IBM support vous recommande vivement d’installer les mises à jour que vous pouvez retrouver dans la section Remediation/Fixes du site d’IBM :
https://lnkd.in/eiENbXYX
Posté dans Alerte