Sécurité informatique

securite informatique
     SECURINFOS
     in English
     Bulletins sécurité
     Docs sécurité
     Logiciels sécurité
     Vieux Logiciels
     Forum sécurité
     Services
     Définitions
     Astuces Windows
     MetaSploit
     M$ OPcodes
     Passwords
     Dictionnaires
     Contact
     Liens

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Sun Java JDK / JRE : Vulnérabilités Diverses


09/07/2008 13H44
Référence Secunia : SA31010 
Date de publication : 2008-07-09

Risque : Elevé. Niveau 4 sur 5.
Impact : Contournement de la Sécurité, Exposition d'informations systèmes, Exposition de données sensibles, DoS, Accès au système
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Java Web Start 1.x
Java Web Start 5.x
Java Web Start 6.x
Sun Java JDK 1.5.x
Sun Java JDK 1.6.x
Sun Java JRE 1.3.x
Sun Java JRE 1.4.x
Sun Java JRE 1.5.x / 5.x
Sun Java JRE 1.6.x / 6.x
Sun Java SDK 1.3.x
Sun Java SDK 1.4.x


Description :
Quelques vulnérabilités ont été identifiées dans Sun Java, qui pourraient être exploitées par des personnes malintentionnées pour passer outre certaines restrictions de sécurité, divulguer des informations système ou potentiellement des informations sensibles, causer un Déni de Service (DoS), ou compromettre un système vulnérable.

1) Une erreur dans le Java Runtime Environment Virtual Machine pourrait être exploitée par une applet malicieuse non-fiable lire et écrire dans des fichiers locaux et exécuter des applications locales.

2) Une erreur dans le Java Management Extensions (JMX) management agent pourrait être exploitée par a JMX client à réaliser certain unauthorized operations sur un système faisant tourner JMX avec local monitoring activé.

3) Deux erreurs dans le scripting language support dans le Java Runtime Environment pourrait être exploitée par des applets malicieuses non-fiables pour accéder information depuis un autre applet, lire et écrire dans des fichiers locaux, et exécuter des applications locales.

4) Une erreur de limitations dans Java Web Start pourrait être exploitée par an non-fiable Java Web Start applications pour entrainer des buffer overflows.

5) Three errors dans Java Web Start pourrait être exploitée par an non-fiable Java Web Start applications pour créer ou supprimer des fichiers arbitraires avec les privilèges de l'utilisateur utilisant the non-fiable Java Web Start application, ou de déterminer l'emplacement du Java Web Start cache.

6) Une erreur dans l'implémentation de Secure Static Versioning permet applets à tourner sur un older release of JRE.

7) Des erreurs dans le Java Runtime Environment pourrait être exploitée par an non-fiable applet passer outre la même origin policy et établir socket connections à certains services tournant sur the local host.

8) Une erreur dans le Java Runtime Environment lors du traitement de certaines données XML pourrait être exploitée à permettre un accès non-autorisé à certain URL resources ou causer un DoS.

L'exploitation de ce problème requière le service JAX-WS client ou dans un de confiance application à traiter the malicious XML data.

9) Une erreur dans le Java Runtime Environment lors du traitement de certaines données XML pourrait être exploitée par an non-fiable applet ou application à obtenir un accès non-autorisé à certain URL resources.

10) Une erreur de limitation lors du traitement fonts dans le Java Runtime Environment pourrait être exploitée pour causer un débordement de tampon.

Veuillez voir l'éditeur advisories pour des détails on les produits et versions affectés.
.

Solutions :
Mettre à jour pour la version corrigée.

JDK et JRE 6 Mettre à jour 7:
http://java.sun.com/javase/downloads/index.jsp

JDK et JRE 5.0 Update 16:
http://java.sun.com/javase/downloads/index_jdk5.jsp

SDK et JRE 1.4.2_18:
http://java.sun.com/j2se/1.4.2/download.html

SDK et JRE 1.3.1_23 (for les clients avec Solaris 8 et Vintage Support Offering support contracts):
http://java.sun.com/j2se/1.3/download.html


Vulnérabilité découverte par :

1) L'éditeur crédite Fujitsu
4) L'éditeur crédite:
* John Heasman de NGSSoftware
* Un chercheur anonyme, reporting via ZDI
5) Peter Csepely, reporting via ZDI
6) L'éditeur crédite John Heasman de NGSSoftware
7) L'éditeur crédite Gregory Fleischer
10) L'éditeur crédite John Heasman de NGSSoftware

Référence :
Sun:
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238628-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238666-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238687-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238905-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238965-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238966-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238967-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238968-1




Veuillez noter : L'information sur laquelle est basée ce bulletin Secunia provient d'un tiers sauf mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.

Derniers bulletins de sécurité informatique

Bulletins de sécurité informatiques relatifs

20081114 Sun Solaris socket Déni de Service Local 1
20081113 Sun Logical Domains Contournement de l'Authentification 2
20081113 Sun Java System Messaging Server Vulnérabilité Cross Site Scripting 2
20081112 Sun Solaris IP Filter Empoisonnement de Cache DNS 3
20081112 Sun Java System Identity Manager Vulnérabilités Diverses 3
20081110 Sun Solstice X 25 Déni de Service Local 1
20081107 Sun SPARC System Firmware Unauthorised Data Access 1
20081024 Sun Java System LDAP JDK Vulnérabilité de Divulgation d'Informations 2
20081022 Sun Integrated Lights Out Manager Interface Web Acces Non Autorise 2
20081015 Sun Solaris sadmind Vulnérabilité de Dépassement de Tampon 3
20081010 Sun Java System Web Proxy Server FTP Subsystem Buffer Overflow 4
20080919 Sun Solaris ACL pour UFS File Systems Déni de Service Local 1
20080918 Sun Solaris Editors Tag Traitement de Fichier Vulnérabilité d'Elévation de Privilèges 2
20080918 Sun Management Center PRM Module Déni de Service 3
20080915 Sun Solaris mise à jour pour bzip2 2
20080909 Sun Solaris 9 GNU Tar PAX Extended Headers Handling Buffer Overflow 3
20080909 Sun Solaris 10 GNU Tar PAX Extended Headers Handling Buffer Overflow 3
20080831 Sun Solaris Kernel Covert Channel Contournement de la Sécurité 1
20080825 Sun Solaris NFS Kernel Module Déni de Service 1
20080821 Sun Solaris NFSv4 Client Kernel Module Déni de Service
20080819 Sun Java System Portal Server Vulnérabilité Cross Site Scripting
20080813 Sun Java System Web Proxy Server FTP Subsystem Déni de Service
20080812 Sun Solaris sendfilev Déni de Service
20080808 Sun Solaris Trusted Extensions Labeled Networking Acces Non Autorise
20080806 Sun Solaris snoop Vulnérabilité d'Exécution de Commande
20080806 Sun Solaris pthread mutex reltimedlock np Déni de Service Local
20080806 Sun Netra T5220 Server Déni de Service Local
20080805 Sun xVM VirtualBox VBoxDrv sys IOCTL Vulnérabilité d'Elévation de Privilèges
20080804 Sun Solaris namefs Kernel Module Elévation de Privilèges
20080804 Sun Solaris Adobe Reader Vulnérabilités Diverses
20080731 Sun Solaris picld Déni de Service
20080731 Sun N1 Service Provisioning System Web Server Plugin Vulnérabilité
20080718 Sun Solaris System Management Agent SNMP Daemon Buffer Overflow
20080711 Sun Solaris Thunderbird Vulnérabilités Diverses
20080709 Sun Solaris DNS Cache Poisoning Vulnérabilité
20080709 Sun Solaris 10 DNS Cache Poisoning Vulnérabilité
20080709 Sun Java JDK JRE Vulnérabilités Diverses
20080701 Sun Solaris 9 Tomcat Vulnérabilités Diverses
20080701 Sun Solaris 10 Tomcat Vulnérabilités Diverses
20080701 Diverses Extensions TYPO3 Vulnérabilités Diverses
20080630 Sun Java Acces au Systeme Manager XSLT Stylesheet Processing Vulnérabilité
20080627 Sun Solaris snmpXdmid Déni de Service
20080626 Sun Solaris Adobe Reader Vulnérabilités Diverses
20080619 Sun Solaris FreeType Vulnérabilités Diverses
20080617 Sun Java System Calendar Server Déni de Service
20080616 Sun Solaris e1000g Gigabit Ethernet Driver Déni de Service
20080616 Sun Solaris X Server Extensions Vulnérabilités Diverses
20080616 Sun Solaris SNMPv3 Contournement de l'Authentification
20080616 Sun Solaris IP Multicast Filter Elévation de Privilèges
20080612 Sun StarOffice StarSuite rtl allocateMemory Dépassement d'Entier
20080612 Sun Solaris UltraSPARC Kernel Module Déni de Service Local
20080612 Sun Solaris Event Port Déni de Service Local
20080612 Sun Java Access Manager Contournement de la Sécurité
20080611 Sun Solaris Firefox Vulnérabilités Diverses
20080605 Sun Service Tag Registry Déni de Service Local Faille
20080603 Sun Solaris mise à jour pour Adobe Flash Player
20080602 Sun Solaris crontab Vulnérabilité d'Elévation de Privilèges
20080602 Sun Cluster Global File System Vulnérabilité Non Spécifiée
20080526 Sun Java System Web Server Advanced Search Cross Site Scripting
20080522 Sun Solaris STREAMS Administrative Driver Déni de Service
20080512 Sun Solaris Print Service Vulnérabilités Non spécifiées
20080423 Sun Solaris MySQL Vulnérabilités Diverses
20080421 Gentoo mise à jour pour sun jdk sun jre bin et emul linux x86 java
20080411 Sun Solaris Self Encapsulated Paquet IPs Déni de Service
20080411 Sun Grid Engine Qmaster Daemon Déni de Service
20080321 Sun Solaris rpc ypupdated Exécution de Commandes Arbitraires
20080320 Sun Solaris libexif Dépassement d'Entier
20080318 Sun Solaris rpc metad Déni de Service
20080313 Sun Solaris JDS XscreenSaver Contournement de l'Authentification
20080312 Sun Solaris 10 Inter Process Communication Déni de Service
20080311 Sun Java Server Faces Traitement d'Entree Cross Site Scripting
20080310 Sun Solaris ICU Regular Expressions Vulnérabilités
20080310 Sun Java Web Console Divulgation d'Informations
20080306 Sun Solaris 10 ipsecah Vulnérabilité de Déni de Service
20080306 Sun Java Acces au Systeme Manager Vulnérabilité Cross Site Scripting
20080305 Sun Java JDK JRE Vulnérabilités Non spécifiées
20080303 Sun Solaris 8 Directory Functions Déni de Service Local
20080225 Sun Solaris Firewall Contournement de la Sécurité et Déni de Service
20080222 Sun Solaris CPU Performance Counters Sub System Déni de Service Local
20080222 Sun Solaris 10 DTrace Dynamic Tracing Framework Divulgation d'Informations
20080218 Sun Solaris vuidmice STREAMS Modules Déni de Service Local
20080206 Sun JRE Applet Handling Deux Vulnérabilités
20080205 Sun Solaris ImageMagick Vulnérabilités Diverses
20080201 Sun Java Runtime Environment External XML Entities Contournement de la Sécurité
20080118 Sun Solaris X Window System et X Server Vulnérabilités Diverses
20080114 Sun Solaris 10 libdevinfo Contournement de la Sécurité
20080114 Sun Solaris 10 dotoprocs Vulnérabilité de Déni de Service
20080111 Sun Solaris 10 PostgreSQL Vulnérabilités Diverses
20071224 Sun Solaris Apache Cross Site Scripting et Déni de Service
20071224 Sun Java System Web Server Web Proxy Server Cross Site Scripting
20071221 Sun Java System Web Proxy Server Vulnérabilités Diverses
20071219 Sun Solaris Firefox Thunderbird Vulnérabilités Diverses
20071219 Sun Management Center Compte par Defaut Faille de Sécurité
20071214 Sun Solaris 10 NFS netgroups Contournement de la Sécurité
20071213 Sun Solaris mise à jour pour Adobe Flash Player
20071210 Sun StarOffice StarSuite Database Document Processing Arbitrary Java Method Exécution
20071205 Sun SPARC Enterprise XCP Firmware Vulnérabilité de Déni de Services
20071130 Sun Solaris 10 fcp et devfs Race Condition Vulnérabilité
20071129 Sun Solaris libTIFF Vulnérabilités Diverses
20071129 Sun Solaris Remote Procedure Call Module Déni de Service
20071115 Sun Solaris unzip File Permission Change Vulnérabilité
20071109 Sun Solaris Mozilla 1 7 Vulnérabilités Diverses
20071108 Sun Solaris SVM Faille de Déni de Service
20071105 Sun SRS Net Connect Software Vulnérabilité de Format de Chaines
20071031 Sun Mozilla Layout Engine Vulnérabilités Diverses
20071030 Sun Solaris Internet Protocol Vulnérabilité de Déni de Service
20071030 Sun Fire X2100 X2200 Embedded Lights Out Manager Exécution de Commande
20071029 Sun Solaris Mozilla JavaScript Engine Vulnérabilités Diverses
20071029 Sun Solaris 10 SCTP INIT Vulnérabilité de Déni de Service
20071026 Sun Solaris 10 OpenSSL SSL get shared ciphers Vulnérabilité
20071017 Sun Solaris bzip2 Vulnérabilités Diverses
20071016 Sun StorageTek 3510 FC Array FTP Déni de Service
20071012 Sun Solaris mise à jour pour mozilla
20071012 Sun Solaris libtiff Vulnérabilités Diverses
20071011 Sun Solaris X Font Server Vulnérabilités Diverses
20071011 Sun Solaris 10 BSM Network Auditing Déni de Service
20071010 Sun Solaris Virtual File System VFS Déni de Service
20071010 Sun Solaris Trusted Extensions labeld Déni de Service
20071009 Sun Solaris vuidmice Streams Modules Déni de Service
20071004 Sun Java JRE Vulnérabilités Diverses
20071003 Sun Solaris Named Pipes Unauthorized Data Access
20071001 Sun Fire X2100 X2200 Embedded Lights Out Manager Contournement de la Sécurité
20070928 Sun Java Acces au Systeme Manager Deux Problemes de Sécurité
20070927 Sun Solaris Thread Context Handling Déni de Service
20070926 Sun Solaris Human Interface Device Déni de Service
20070919 Sun Solaris BIND 8 IDs de Requete DNS Previsibles Vulnérabilité
20070906 Sun Solaris Kerberos RPCSEC GSS Vulnérabilité
20070903 Sun Solaris Special File System strfreectty Faille de Sécurité
20070822 Sun Solaris ATA Disk Driver IOCTLs Déni de Service
20070817 Sun Solaris RBAC Rules Vulnérabilité d'Elévation de Privilèges
20070816 Sun Solaris BIND Predictable DNS Query IDs Vulnérabilité
20070816 Sun Java System Web Server redirect Vulnérabilité
20070816 Sun Java System Portal Server XSLT Processing Vulnérabilité
20070816 Sun Java System Application Server Divulgation de Code Source JSP
20070816 Sun JRE Font Parsing Vulnérabilité
20070731 Sun Solaris DTrace Déni de Service
20070726 Sun Solaris lbxproxy Vulnérabilité d'Elévation de Privilèges
20070711 Sun Solaris rcp Command Line Injection de Commande Shell
20070711 Sun Java System Web Application Server XSLT Processing Vulnérabilité
20070711 Sun Java JRE JDK Processing of XSLT Stylesheets dans XML Signatures Vulnérabilité
20070711 Sun Java Acces au Systeme Manager message Debug Level Divulgation de Mot de Passe
20070711 Java Secure Socket Extension Vulnérabilité de Déni de Service
20070710 Sun Java JRE Web Start JNLP File Processing Buffer Overflow
20070629 Sun Solaris libpng tRNS Chunk Déni de Service
20070629 Sun Java Web Start Untrusted Application Surecriture de Fichier Arbitraire
20070629 Sun JDK JavaDoc Vulnérabilité Cross Site Scripting
20070628 Sun Solaris dtsession Vulnérabilité d'Elévation de Privilèges
20070628 Sun Solaris TCP Loopback Fusion Déni de Service
20070628 Sun Solaris SEAM kadmind Vulnérabilité de Dépassement de Tampon
20070628 Sun Solaris KSSL Kernel Vulnérabilité de Déni de Service
20070627 Sun Solaris libsldap Déni de Service
20070627 Sun Solaris Mozilla 1 7 Vulnérabilités
20070627 Sun Solaris Kerberos RPC Library Vulnérabilités
20070622 Sun Solaris GnuTLS Vulnérabilité de Signature RSA Forgée
20070621 Sun Solaris Gnome PDF Viewer Vulnérabilités Diverses
20070619 Sun Solaris 10 BIND DNSSEC Déni de Service
20070618 Sun StarOffice Office Suite RTF File et FreeType Font Parsing Vulnérabilités
20070615 Sun Solaris Multiple Samba Vulnérabilités
20070615 Sun Solaris 10 IPsec Packet Handling Déni de Service
20070614 Sun Solaris 10 NFS XDR Handling Vulnérabilité
20070614 Sun Java System Directory Server Deux Vulnérabilités
20070611 Sun Solaris sshd Identical Blocks Vulnérabilité de Déni de Service
20070611 Sun Solaris scp Command Line Injection de Commande Shell
20070608 Sun Solaris Mozilla 1 7 Vulnérabilité
20070606 Sun Solaris Management Console Elévation de Privilèges
20070605 Sun Solaris xscreensaver Exécution de Commandes Arbitraires
20070531 Sun Solaris mise à jour pour Adobe Flash Player
20070530 Sun Solaris inetd Vulnérabilité de Déni de Service
20070530 Sun Solaris in iked Vulnérabilité de Déni de Service
20070530 Sun Solaris Kerberos kadm5 Library Vulnérabilité
20070528 Sun Java System Web Proxy Server SOCKS Module Buffer Overflows
20070525 Sun Solaris snmpd AgentX Subagent Request Processing Vulnérabilité
20070525 Sun Solaris NFS Client Module Déni de Service
20070516 Sun JDK ICC et BMP Parser Vulnérabilités
20070511 Sun SRS Proxy Core srsexec Divulgation d'Informations
20070508 Sun Solaris acl Déni de Service Local
20070502 Sun Solaris 9 Auditing BSM Déni de Service
20070502 Sun Java System Directory Server Déni de Service
20070501 Java 2 Platform Vulnérabilité d'Elévation de Privilèges
20070430 Sun Java System Directory Server NSS Déni de Service
20070427 Sun Solaris PostgreSQL SECURITY DEFINER Elévation de Privilèges
20070426 Sun Solaris X11 Vulnérabilités Diverses
20070425 Sun Solaris libX11 Dépassement d'Entier
20070425 Sun Cluster Software Vulnérabilité de Déni de Service
20070419 Sun Solaris Mozilla 1 7 Vulnérabilités
20070418 Sun Solaris et Java Web Console Vulnérabilité de Format de Chaines
20070413 Sun Solaris IP Packet Déni de Service
20070411 Sun StarOffice et StarSuite 8 WordPerfect Vulnérabilité
20070402 Sun Solaris Mozilla 1 7 Vulnérabilité
20070330 Sun Solaris et Java Enterprise System Network Security Services Vulnérabilités
20070326 Sun Java System Directory Server ns slapd Déni de Service
20070316 Sun Java System Web Server Divulgation d'Informations
20070315 Sun Solaris Adobe Acrobat Vulnérabilités Diverses
20070315 Sun Java System Web Server Revoked Certificate Contournement de la Sécurité
20070312 Sun Java DMK JMX RMI IIOP Faille de Sécurité
20070308 Sun Fire X2100 X2200 ipmitool Vulnérabilité d'Elévation de Privilèges
20070219 Gentoo mise à jour pour sun jkd et sun jre bin
20070214 Sun Solaris X Font Server X Render et DBE Extensions Vulnérabilités
20070214 Sun Solaris TCP Subsystem Déni de Service
20070213 Sun Solaris in telnetd Contournement de l'Authentification
20070213 Sun Solaris Mozilla 1 7 Vulnérabilités
20070209 Sun Solaris rm Race Condition Vulnérabilité
20070131 Sun Solaris ICMP Vulnérabilité de Déni de Service
20070130 Sun Java Acces au Systeme Manager Cross Site Scripting
20070129 Sun Solaris FreeType Dépassement d'Entier et Underflow Vulnérabilités
20070124 Sun Solaris 9 Xorg X Server Dépassement d'Entiers
20070124 Sun Solaris 10 Xorg X Server Dépassement d'Entiers
20070124 Sun Ray Server Software Divulgation de Mot de Passe
20070123 Sun Solaris mise à jour pour Mozilla
20070123 Sun Solaris kcms calibrate Elévation de Privilèges
20070123 Gentoo mise à jour pour sun jdk et sun jre bin
20070117 Sun Java JRE GIF Image Processing Vulnérabilité de Dépassement de Tampon
20070110 Sun Solaris rpcbind Déni de Service
20070110 Sun Solaris mise à jour pour gzip
20070108 Sun Java System Content Delivery Server Content Details Disclosure
20061226 Sun Solaris WAN Boot Vulnérabilité de Signature RSA Forgée
20061220 Sun Java JRE Vulnérabilités Diverses
20061213 Sun Solaris ld so Traversée de Répertoire et Buffer Overflow
20061204 Produits Sun Java System Server HTTP Request Smuggling
20061201 Sun Solaris Déni de Service Local
20061121 Sun Solaris Gimp XCF Parsing Vulnérabilité de Dépassement de Tampon
20061110 Sun Solaris OpenSSL Vulnérabilités
20061106 Sun Solaris UFS File System Denial Of Service
20061106 Produits Sun Java System Signature RSA Forgée
20061103 Sun Solaris NVIDIA Graphics Driver Vulnérabilité de Dépassement de Tampon
20061101 Sun ONE Java System Web Server NSS Déni de Service
20061031 Sun Java System Messenger Express error Cross Site Scripting
20061026 Sun JES Solaris OpenSSL RSA Signature Forgery
20061025 Sun Java System Messaging Server Webmail Insertion de Script
20061018 Sun Solaris TCP Fusion Déni de Service Local
20061016 Sun Grid Engine Multiple OpenSSL Vulnérabilités
20061013 Sun Solaris Apache mod rewrite et mod imap Vulnérabilités
20061012 Sun Solaris mise à jour pour Apache 2
20061012 Sun Solaris Sendmail Entete Long Déni de Service
20061012 Sun Solaris Apache mod rewrite et mod imap Vulnérabilités
20061011 Sun Solaris Sendmail Long Header Déni de Service
20061010 Sun Secure Global Desktop Software RSA Signature Forgery Vulnérabilité
20061009 Sun Solaris X Display Manager Xsession Script Faille de Sécurité
20061009 Sun Secure Global Desktop Software Signature RSA Forgée Vulnérabilité
20061005 Sun Solaris mise à jour pour Apache 2 mod ssl module
20061004 Sun Solaris Signature RSA Forgée Vulnérabilité
20061004 Sun Java JDK SDK Signature RSA Forgée Vulnérabilité
20060927 Sun Solaris Kernel SSL Vulnérabilité de Déni de Service
20060926 Sun Solaris syslog Vulnérabilité de Déni de Service
20060824 Sun Solaris RBAC Profile Vulnérabilités d'Elévation de Privilèges
20060810 Sun Solaris drain squeue Déni de Service
20060809 Sun Ray Server Software utxconfig Elévation de Privilèges
20060802 Sun Fire T2000 Incorrect DSA Signature Verification
20060731 Sun Grid Engine Vulnérabilité de Dépassement de Tampon Non Spécifiée