L’Office fédéral allemand de la sécurité de l’information (BSI) a publié une mise à jour concernant une vulnérabilité de sécurité critique affectant Oracle Java SE. La vulnérabilité, découverte le 15 octobre 2024, contient plusieurs faiblesses qui pourraient être exploitées par des attaquants distants pour compromettre la confidentialité, l’intégrité et la disponibilité.
La vulnérabilité affecte divers systèmes d’exploitation, notamment Linux, UNIX et Windows, ainsi que de nombreux produits tels que IBM Java, Debian Linux, IBM WebSphere Service Registry and Repository, IBM Tivoli Monitoring, Amazon Linux 2, IBM InfoSphere Information Server, Open Source OpenJDK, Red Hat Enterprise Linux, IBM WebSphere Application Server, Ubuntu Linux, SUSE Linux, Oracle Linux, Gentoo Linux, SUSE openSUSE, Azul Zulu, Oracle Java SE, IBM QRadar SIEM, Hitachi Command Suite, Hitachi Ops Center, Hitachi Configuration Manager, Dell NetWorker, IBM App Connect Enterprise, IBM Sterling Connect:Direct et Amazon Corretto.
Le BSI a attribué à la vulnérabilité un score CVSS de base de 8,1, la classant comme « haute » en termes de gravité. Le score CVSS temporel est de 7,1.
La vulnérabilité est suivie par les identifiants CVE suivants : CVE-2023-42950, CVE-2024-21208, CVE-2024-21210, CVE-2024-21211, CVE-2024-21217, CVE-2024-21235, CVE-2024-25062 et CVE-2024-36138.
Les utilisateurs sont invités à se référer aux dernières recommandations des fabricants concernant les mises à jour, les solutions de contournement et les correctifs de sécurité, qui peuvent être trouvés dans le bulletin de sécurité IBM 7182775.