Red Hat corrige plusieurs vulnérabilités dans Red Hat JBoss Enterprise Application Platform | Accompagnement Cybersécurité des Structures de Santé

Plusieurs vulnérabilités ont été corrigées dans Red Hat JBoss Enterprise Application Platform. Il s'agit des vulnérabilités référencées comme suit:

CVE-2017-7536 [CVSS 6.3] : une vulnérabilité permettant une élévation de privilèges lors de l'utilisation du gestionnaire de sécurité;
CVE-2018-10237 [CVSS 6.5] : une vulnérabilité due à l'absence de contrôle des allocations de mémoire dans les classes AtomicDoubleArray et CompoundOrdering. Un attaquant distant pourrait forcer le programme à allouer toute la mémoire disponible sur le système, permettant ainsi de provoquer un déni de service;
CVE-2017-2582 [CVSS 6.7] : Une vulnérabilité dans la fonctionnalité de remplacement d'attribut avec une propriété système dans qui pourrait permettre à un attaquant d'obtenir les propriétés systèmes de la victime;
CVE-2018-1336 [CVSS 7.5] : Une faille dans le décodeur UTF-8 pourrait provoquer un déni de service.

Informations

Risques

Criticité

Existence d’un code d’exploitation de la vulnérabilité

Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

CVE

Recommandations

Correctifs

La vulnérabilité est corrigée à partir de la version 6.4.21
Concernant la vulnérabilité CVE-2018-10237, il est recommandé aux administrateurs de définir une limite sur la taille des objets acceptés par le serveur.

Solution de contournement

Concernant la vulnérabilité CVE-2018-10237, une solution de contournement possible consiste à filtrer les données sérialisées entrantes. Pour plus d'informations, se référer à l'instruction JEP 290.
Il n’existe pas actuellement de solution de contournement.

Liens