IBM a corrigé plusieurs vulnérabilités dans les versions 7, 7R1 et 8 d'IBM Runtime Environment Java utilisées par IBM DataPower Gateway. L'éditeur s'est contenté de préciser que les vulnérabilités corrigées concernaient le composant Java SE Security.
Toutes les vulnérabilités sont exploitables à distance par un attaquant.
La vulnérabilité la plus grave impacte la confidentialité et l'intégrité des données. Les cinq autres vulnérabilités n'impactent que faiblement la disponibilité.
Informations
+
Risques
- Atteinte à la confidentialité
- Atteinte à la disponibilité
- Atteinte à l'intégrité
Criticité
- CVSS v3 : 7.4 (score de la vulnérabilité la plus critique)
Existence d’un code d’exploitation de la vulnérabilité
- Non, aucun code permettant l’exploitation des vulnérabilités n’est connu publiquement à ce jour.
Composants & versions vulnérables
- IBM DataPower Gateway 7.1.0.0 – 7.1.0.22
- IBM DataPower Gateway 7.2.0.0 – 7.2.0.20
- IBM DataPower Gateway 7.5.0.0 – 7.5.0.16
- IBM DataPower Gateway 7.5.1.0 – 7.5.1.15
- IBM DataPower Gateway 7.5.2.0 – 7.5.2.15
- IBM DataPower Gateway 7.6.0.0 – 7.6.0.8
CVE
- CVE-2018-2783
- CVE-2018-2799
- CVE-2018-2798
- CVE-2018-2797
- CVE-2018-2796
- CVE-2018-2795
Recommandations
+
Correctifs
- La vulnérabilité est corrigée à partir des versions 7.1.0.23, 7.2.0.21, 7.5.0.17, 7.5.1.16, 7.5.2.16, 7.6.0.9, 7.7.1.3
Solution de contournement
- Il n’existe pas actuellement de solution de contournement.
Liens
+