Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Sun Java JRE : Vulnérabilités Diverses

04/10/2007 10H36
Référence Secunia : SA27009 
Date de publication : 2007-10-04

Risque : Elevé. Niveau 4 sur 5.
Impact : Contournement de la Sécurité, Manipulation de données, Exposition d'informations systèmes, Exposition de données sensibles, Accès au système
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Sun Java JDK 1.5.x
Sun Java JDK 1.6.x
Sun Java JRE 1.3.x
Sun Java JRE 1.4.x
Sun Java JRE 1.5.x / 5.x
Sun Java JRE 1.6.x / 6.x
Sun Java SDK 1.3.x
Sun Java SDK 1.4.x

Description :
Plusieurs vulnérabilités ont été identifiées dans Sun Java JRE (Java Runtime Environment), qui pourrait être exploitée par des personnes malintentionnées pour passer outre certaines restrictions de sécurité, manipuler des données, divulguer des information système sensibles, ou potentiellement compromettre un système vulnérable.

1) Plusieurs erreurs non-spécifiées dans le Java Runtime Environment pourrait être exploitée par ex. une applet malicieuse ou en utilisant les APIs Java à établir des connexions réseau à certains services sur des machines autres que l'hôte originel.

2) Plusieurs erreurs non-spécifiées dans Java Web Start pourrait être exploitée par une applet malicieuse à lire/écrire des fichiers locaux ou déterminer l'emplacement du Java Web Start cache.

3) Une erreur non spécifiée dans le Java Runtime Environment pourrait être exploitée pour déplacer ou copier des fichiers arbitraires sur le système par ex. en incitant un utilisateur à glisser/déposer un fichier depuis une applet à une application bureau qui a des permissions correctes.

Les vulnérabilités sont rapportées dans les versions suivantes:
* JDK et JRE 6 Mettre à jour 2 et précédente
* JDK et JRE 5.0 Update 12 et précédente
* SDK et JRE 1.4.2_15 et précédente
* SDK et JRE 1.3.1_20 et précédente

NOTE : Quelques vulnérabilités affectent seulement certaines versions ou navigateurs. Veuillez voir les bulletins de l'éditeur pour des détails.


Solutions :
Mettre à jour pour la version corrigée.

JDK et JRE 6 Update 3:
http://java.sun.com/javase/downloads/index.jsp

JDK et JRE 5.0 Update 13:
http://java.sun.com/javase/downloads/index_jdk5.jsp

SDK et JRE 1.4.2_16:
http://java.sun.com/j2se/1.4.2/download.html

SDK et JRE 1.3.1 pour Solaris 8:
http://java.sun.com/j2se/1.3/download.html


Vulnérabilité découverte par :

L'éditeur crédite:
1) Billy Rios, Dan Boneh, Collin Jackson, Adam Barth, Andrew Bortz, Weidong Shao, et David Byrne
2) Peter Csepely

Référence :
Sun:
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103079-1
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103078-1
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103073-1
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103072-1




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.