For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00254
Identificador(es)
ASA-2019-00254, CVE-2018-3180
Título
O OpenJDK não garantiu que o mesmo algoritmo de identificação endpoint fosse usado durante a TLS session resumption
Fabricante(s)
IBM
Produto(s)
IBM Planning Analytics
Versão(ões) afetada(s)
IBM Planning Analytics versões 2.0, 2.0.1, 2.0.2, 2.0.3, 2.0.4, 2.0.5 e 2.0.6
Versão(ões) corrigida(s)
IBM Planning Analytics versão 2.0.7
Prova de conceito
Desconhecido
Descrição
Uma vulnerabilidade relacionada ao componente Java SE Embedded JSSE pode permitir que um atacante não autenticado cause baixo impacto de confidencialidade, baixo impacto de integridade e baixo impacto de disponibilidade.
A implementação do Java Secure Socket Extension (JSSE) no OpenJDK não garantiu que o mesmo algoritmo de identificação endpoint fosse usado durante a TLS session resumption como durante a configuração inicial da sessão. Um atacante pode usar isso para expor informações confidenciais.
Detalhes técnicos
Desconhecido
Créditos
Felix Dörre
Referência(s)
Security Bulletin: Multiple vulnerabilities affect IBM Planning Analytics
https://www-01.ibm.com/support/docview.wss?uid=ibm10879407
Oracle Java SE, Java SE Embedded, JRockit JSSE unspecified
https://exchange.xforce.ibmcloud.com/vulnerabilities/151497
[cvenvc cve=”CVE-2018-3180″]
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 3 maio 2019