ClickCease Plusieurs vulnérabilités d'OpenJDK corrigées

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Plusieurs vulnérabilités d'OpenJDK corrigées

Rohan Timalsina

Le 27 février 2024 - L'équipe d'experts de TuxCare

Récemment, plusieurs vulnérabilités ont été découvertes dans le moteur d'exécution Java OpenJDK, qui peuvent entraîner des attaques par canal latéral, la fuite de données sensibles dans des fichiers journaux, un déni de service ou le contournement des restrictions du bac à sable. Les versions concernées sont les suivantes : 21.0.1, 17.0.9, 11.0.21, 8u392 et antérieures.

Dans cet article, nous allons explorer les détails de ces vulnérabilités et comprendre leur impact sur les déploiements Java.

 

Vulnérabilités OpenJDK de haute gravité

 

CVE-2024-20918 (Score de gravité CVSS 3 : 7.4 élevé)

Cette faille permet à un attaquant non authentifié disposant d'un accès réseau via plusieurs protocoles de compromettre Oracle Java SE, Oracle GraalVM for JDK et Oracle GraalVM Enterprise Edition. Une exploitation réussie pourrait conduire à un accès non autorisé à des données critiques et à la possibilité de modifier ou de supprimer des données. Cette vulnérabilité est exploitable via les API des composants spécifiés, par exemple via les services web, et affecte les déploiements Java, en particulier dans les environnements en bac à sable exécutant du code non fiable à partir d'Internet.

 

CVE-2024-20926 (Score de gravité CVSS 3 : 5.9 Moyen)

Cette vulnérabilité d'OpenJDK permet également aux attaquants basés sur le réseau d'accéder à Oracle Java SE, Oracle GraalVM for JDK et Oracle GraalVM Enterprise Edition, permettant potentiellement un accès non autorisé aux données. Elle exploite les API, comme les services web, et a un impact sur les déploiements Java, en particulier dans les environnements en bac à sable qui exécutent du code Internet non fiable, en s'appuyant sur le bac à sable Java pour la sécurité.

 

CVE-2024-20932 (Score de gravité CVSS 3 : 7.5 élevé)

Cette vulnérabilité, facilement exploitable via plusieurs protocoles, permet à des attaquants non authentifiés de compromettre Oracle Java SE, Oracle GraalVM for JDK et Oracle GraalVM Enterprise Edition. Son exploitation peut conduire à un accès non autorisé à des données critiques et à des modifications non autorisées. Il affecte les déploiements Java, en particulier dans les environnements en bac à sable tels que les applications Java Web Start ou les applets Java exécutant un code non fiable. Il n'a pas d'impact sur les déploiements Java limités à l'exécution de code fiable, tels que ceux sur les serveurs.

 

CVE-2024-20952 (Score de gravité CVSS 3 : 7.4 élevé)

Cette vulnérabilité, difficile à exploiter, permet à un attaquant non authentifié disposant d'un accès réseau via plusieurs protocoles de compromettre Oracle Java SE, Oracle GraalVM for JDK et Oracle GraalVM Enterprise Edition. Cela peut conduire à un accès non autorisé, à la création, à la suppression ou à la modification de données critiques. Il affecte notamment les déploiements Java dans les clients qui exécutent des applications Java Web Start en bac à sable ou des applets qui chargent du code non fiable. Il n'a pas d'incidence sur les déploiements de Java sur des serveurs exécutant uniquement du code fiable.

 

Vulnérabilités OpenJDK de gravité moyenne

 

CVE-2024-20919 (Score de gravité CVSS 3 : 5.9 Moyen)

Cette vulnérabilité permet à des attaquants non authentifiés disposant d'un accès réseau de compromettre potentiellement Oracle Java SE, Oracle GraalVM for JDK et Oracle GraalVM Enterprise Edition. Son exploitation peut conduire à un accès non autorisé aux données ou à un contrôle total des systèmes concernés. Ce risque s'étend aux déploiements de Java, en particulier dans les environnements de bac à sable exécutant du code non fiable.

 

CVE-2024-20921 (Score de gravité CVSS 3 : 5.9 Moyen)

Il permet à des attaquants non authentifiés de compromettre Oracle Java SE, Oracle GraalVM for JDK et Oracle GraalVM Enterprise Edition, et d'obtenir potentiellement un accès non autorisé à des données critiques. Elle peut être exploitée via des API et affecte les déploiements Java, en particulier dans les environnements en bac à sable exécutant du code non fiable provenant d'Internet.

 

CVE-2024-20945 (Score de gravité CVSS 3 : 4.7 Moyen)

Cette vulnérabilité, difficile à exploiter, permet à un attaquant faiblement privilégié disposant d'un accès de connexion à l'infrastructure de compromettre Oracle Java SE, Oracle GraalVM for JDK et Oracle GraalVM Enterprise Edition. Une exploitation réussie peut conduire à un accès non autorisé à des données critiques ou à un accès complet aux données. Elle peut être exploitée par le biais d'API au sein du composant, par exemple via un service web fournissant des données. Cette vulnérabilité affecte également les déploiements Java, en particulier dans les environnements en bac à sable tels que les applications Java Web Start ou les applets Java exécutant du code non fiable.

 

Conclusion

 

Le groupe de sécurité d'OpenJDK a corrigé ces vulnérabilités dans les nouvelles versions. Il est recommandé de mettre à jour les installations existantes dès que possible. SecureChain for Java de TuxCare permet d'accéder à un référentiel unique et fiable de paquets et de bibliothèques Java exempts de vulnérabilités afin de sécuriser vos applications.

L'équipe de sécurité de Debian a également publié des correctifs pour ces vulnérabilités d'OpenJDK, les adressant dans les paquets openjdk-11 et openjdk-17. Il est conseillé de mettre à jour vos paquets openjdk-11 et openjdk-17 dans Debian pour réduire les risques associés. Pour automatiser les correctifs de sécurité sur vos serveurs Linux, vous pouvez utiliser la solution KernelCare Enterprise live patching de TuxCare. Cette solution déploie tous les correctifs de vulnérabilité sans avoir à redémarrer le serveur. En savoir plus sur le live patching et comment il aide à gérer les vulnérabilités.

 

Sources : Avis de vulnérabilité d'OpenJDK, base de données nationale des vulnérabilités.

Résumé
Plusieurs vulnérabilités d'OpenJDK corrigées
Nom de l'article
Plusieurs vulnérabilités d'OpenJDK corrigées
Description
Découvrez les dernières vulnérabilités d'OpenJDK qui pourraient conduire à un accès non autorisé et apprenez à sécuriser vos déploiements Java.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information