Ubuntu corrige de multiples vulnérabilités d'OpenJDK 8
Plusieurs vulnérabilités ont été récemment identifiées dans OpenJDK 8, qui pourraient potentiellement conduire à un déni de service, à la divulgation d'informations, à l'exécution de code arbitraire, ou même au contournement des restrictions du bac à sable Java. En réponse, Canonical a publié des correctifs de sécurité pour plusieurs versions d'OpenJDK, y compris OpenJDK 21, OpenJDK 17, OpenJDK 11 et OpenJDK 8 sur les versions d'Ubuntu concernées.
Cet article explore les détails de ces vulnérabilités et propose des conseils pour sécuriser vos systèmes Linux.
Les vulnérabilités d'OpenJDK 8 corrigées
CVE-2024-21131
Cette vulnérabilité découverte dans OpenJDK est liée au composant Hotspot, qui ne gère pas correctement les limites lorsqu'il traite certaines chaînes UTF-8. Cette faille peut conduire à un débordement de mémoire tampon et permettre à un attaquant de provoquer un déni de service ou d'exécuter du code arbitraire sur les systèmes affectés.
CVE-2024-21138
Une autre vulnérabilité du composant Hotspot concerne la possibilité de déclencher une boucle infinie. Si un système automatisé est amené à traiter des symboles de taille excessive, il pourrait entrer dans une boucle continue, ce qui provoquerait un déni de service.
CVE-2024-21140
Le composant Hotspot contient également une faille liée à l'élimination inadéquate de la vérification de la portée. Cette vulnérabilité pourrait permettre à un attaquant de provoquer un déni de service, d'exécuter un code arbitraire ou de contourner les restrictions du bac à sable Java.
CVE-2024021144
Le composant Concurrency d'OpenJDK n'effectue pas correctement la validation des en-têtes dans le format d'archive Pack200. Cette vulnérabilité peut être exploitée par un attaquant pour provoquer un déni de service.
CVE-2024-21145
Sergery Bylokhov a identifié une vulnérabilité dans OpenJDK liée à une mauvaise gestion de la mémoire lors de la manipulation d'images 2D. Cette faille pourrait permettre à un attaquant d'obtenir des informations sensibles du système.
CVE-2024-21147
Un autre problème lié à l'élimination de la vérification de la plage dans le composant Hotspot a également été découvert. Cette vulnérabilité, similaire à la CVE-2024-21140, pourrait permettre à un attaquant de provoquer un déni de service, d'exécuter un code arbitraire ou de contourner les restrictions du bac à sable Java.
Sécuriser vos systèmes Ubuntu
Pour remédier à ces vulnérabilités, il est essentiel de mettre à jour vos systèmes avec les dernières versions d'OpenJDK 8. Canonical a fourni des mesures de sécurité pour diverses versions d'Ubuntu, y compris :
- Ubuntu 24.04 LTS
- Ubuntu 22.04 LTS
- Ubuntu 20.04 LTS
- Ubuntu 18.04 ESM
Pour les systèmes utilisant Ubuntu 18.04, qui a atteint la fin de sa durée de vie, les correctifs de sécurité ne sont disponibles que par le biais de l'Extended Security Maintenance (ESM) avec un abonnement Ubuntu Pro. Cependant, il existe une autre option pour les organisations qui souhaitent prolonger la durée de vie de la sécurité de leurs systèmes Ubuntu 18.04 sans encourir de coûts élevés.
L'Extended Lifecycle Support (ELS) de TuxCare pour Ubuntu 18.04 offre une solution plus abordable, fournissant jusqu'à cinq années supplémentaires de correctifs de sécurité de niveau fournisseur. Ce service couvre plus de 140 paquets, dont le noyau Linux, OpenJDK, Apache, PHP, glibc, OpenSSL, OpenSSH et les paquets Python, entre autres. Avec ELS, vous disposez de suffisamment de temps pour planifier une migration sûre tout en préservant la sécurité de votre système d'exploitation.
Source : USN-6929-1