Trois nouvelles failles découvertes sur IBM® SDK Java™ Technology Edition et IBM® Runtime Environment Java™ utilisées par IBM i. Ces failles peuvent provoquer un déni de service et/ou avoir un impact important sur son intégrité (CVE-2023-22081 et CVE-2023-22067).
En effet Oracle Java SE (Oracle GraalVM) comporte une vulnérabilité non spécifiée. On parle ici d’un risque score CVSS de 5.3 pour les 2 composants suivants CORBA(CVE-2023-22067) et JSEE(CVE-2023-22081). Une attaque distante pourrait impacter la confidentialité, l’intégrité et la disponibilité du service.
Gayte.IT se permet de vous rappeller que Eclipse OpenJ9 est toujours vulnérable au déni de service par envoi d’un signal d’arrêt que nous avons déja évoqué dans le dernier bulletin d’alerte (pour plus d’informations veuillez vous référer au post du blog: https://i.gayte.it/alerte/alerte-securite-ibm-i-ibm-runtime-environnement-java-version-8-05-02-2024/ )
Par expérience nous vous conseillons vivement d’appliquer régulièrement les PTFs sur le groupe Java. A noter que bien que plus maintenue, la version V7R3 de l’IBM i dispose d’un correctif (sous la forme du groupe 31 pour Java) que vous pouvez retrouver dans la section Rémédiations/Fixes qui suit (ou directement sur le site https://lnkd.in/ernyAx25).
