Plusieurs vulnérabilités d'OpenJDK corrigées
Récemment, plusieurs vulnérabilités ont été découvertes dans le moteur d'exécution Java OpenJDK, qui peuvent entraîner des attaques par canal latéral, la fuite de données sensibles dans des fichiers journaux, un déni de service ou le contournement des restrictions du bac à sable. Les versions concernées sont les suivantes : 21.0.1, 17.0.9, 11.0.21, 8u392 et antérieures.
Dans cet article, nous allons explorer les détails de ces vulnérabilités et comprendre leur impact sur les déploiements Java.
Vulnérabilités OpenJDK de haute gravité
CVE-2024-20918 (Score de gravité CVSS 3 : 7.4 élevé)
Cette faille permet à un attaquant non authentifié disposant d'un accès réseau via plusieurs protocoles de compromettre Oracle Java SE, Oracle GraalVM for JDK et Oracle GraalVM Enterprise Edition. Une exploitation réussie pourrait conduire à un accès non autorisé à des données critiques et à la possibilité de modifier ou de supprimer des données. Cette vulnérabilité est exploitable via les API des composants spécifiés, par exemple via les services web, et affecte les déploiements Java, en particulier dans les environnements en bac à sable exécutant du code non fiable à partir d'Internet.
CVE-2024-20926 (Score de gravité CVSS 3 : 5.9 Moyen)
Cette vulnérabilité d'OpenJDK permet également aux attaquants basés sur le réseau d'accéder à Oracle Java SE, Oracle GraalVM for JDK et Oracle GraalVM Enterprise Edition, permettant potentiellement un accès non autorisé aux données. Elle exploite les API, comme les services web, et a un impact sur les déploiements Java, en particulier dans les environnements en bac à sable qui exécutent du code Internet non fiable, en s'appuyant sur le bac à sable Java pour la sécurité.
CVE-2024-20932 (Score de gravité CVSS 3 : 7.5 élevé)
Cette vulnérabilité, facilement exploitable via plusieurs protocoles, permet à des attaquants non authentifiés de compromettre Oracle Java SE, Oracle GraalVM for JDK et Oracle GraalVM Enterprise Edition. Son exploitation peut conduire à un accès non autorisé à des données critiques et à des modifications non autorisées. Il affecte les déploiements Java, en particulier dans les environnements en bac à sable tels que les applications Java Web Start ou les applets Java exécutant un code non fiable. Il n'a pas d'impact sur les déploiements Java limités à l'exécution de code fiable, tels que ceux sur les serveurs.
CVE-2024-20952 (Score de gravité CVSS 3 : 7.4 élevé)
Cette vulnérabilité, difficile à exploiter, permet à un attaquant non authentifié disposant d'un accès réseau via plusieurs protocoles de compromettre Oracle Java SE, Oracle GraalVM for JDK et Oracle GraalVM Enterprise Edition. Cela peut conduire à un accès non autorisé, à la création, à la suppression ou à la modification de données critiques. Il affecte notamment les déploiements Java dans les clients qui exécutent des applications Java Web Start en bac à sable ou des applets qui chargent du code non fiable. Il n'a pas d'incidence sur les déploiements de Java sur des serveurs exécutant uniquement du code fiable.
Vulnérabilités OpenJDK de gravité moyenne
CVE-2024-20919 (Score de gravité CVSS 3 : 5.9 Moyen)
Cette vulnérabilité permet à des attaquants non authentifiés disposant d'un accès réseau de compromettre potentiellement Oracle Java SE, Oracle GraalVM for JDK et Oracle GraalVM Enterprise Edition. Son exploitation peut conduire à un accès non autorisé aux données ou à un contrôle total des systèmes concernés. Ce risque s'étend aux déploiements de Java, en particulier dans les environnements de bac à sable exécutant du code non fiable.
CVE-2024-20921 (Score de gravité CVSS 3 : 5.9 Moyen)
Il permet à des attaquants non authentifiés de compromettre Oracle Java SE, Oracle GraalVM for JDK et Oracle GraalVM Enterprise Edition, et d'obtenir potentiellement un accès non autorisé à des données critiques. Elle peut être exploitée via des API et affecte les déploiements Java, en particulier dans les environnements en bac à sable exécutant du code non fiable provenant d'Internet.
CVE-2024-20945 (Score de gravité CVSS 3 : 4.7 Moyen)
Cette vulnérabilité, difficile à exploiter, permet à un attaquant faiblement privilégié disposant d'un accès de connexion à l'infrastructure de compromettre Oracle Java SE, Oracle GraalVM for JDK et Oracle GraalVM Enterprise Edition. Une exploitation réussie peut conduire à un accès non autorisé à des données critiques ou à un accès complet aux données. Elle peut être exploitée par le biais d'API au sein du composant, par exemple via un service web fournissant des données. Cette vulnérabilité affecte également les déploiements Java, en particulier dans les environnements en bac à sable tels que les applications Java Web Start ou les applets Java exécutant du code non fiable.
Conclusion
Le groupe de sécurité d'OpenJDK a corrigé ces vulnérabilités dans les nouvelles versions. Il est recommandé de mettre à jour les installations existantes dès que possible. L'équipe de sécurité de Debian a également publié des correctifs pour ces vulnérabilités d'OpenJDK, les corrigeant dans les paquets openjdk-11 et openjdk-17. Il est conseillé de mettre à jour vos paquets openjdk-11 et openjdk-17 dans Debian afin de réduire les risques associés.
Pour automatiser les correctifs de sécurité sur vos systèmes Linux, vous pouvez utiliser la solution KernelCare Enterprise live patching de TuxCare. Cette solution déploie toutes les mises à jour critiques sur un noyau en cours d'exécution sans avoir à redémarrer le système. En savoir plus sur le live patching et comment il aide à réduire les vulnérabilités du noyau Linux.
Sources : Avis de vulnérabilité d'OpenJDK, base de données nationale des vulnérabilités.