CERTA : Multiples vulnérabilités dans la machine virtuelle JAVA (JRE) de SUN
novembre 2007 par CERT-FR
1 Risque
Contournement de la politique de sécurité.
2 Systèmes affectés
– * JDK et JRE 6, mise à jour 2, et les versions antérieures ;
– * JDK et JRE 5.0, mise à jour 12, et les versions antérieures ;
– * SDK et JRE 1.4.2_15 et les versions antérieures ;
– * SDK et JRE 1.3.1_20 et les versions antérieures.
3 Résumé
Plusieurs vulnérabilités dans la machine virtuelle Java (JRE) de SUN,
permettant de contourner les politiques de sécurité réseaux et de gestion des
fichiers, sont corrigées.
4 Description
Plusieurs vulnérabilités dans la machine virtuelle Java (JRE) de SUN sont
corrigées. Elles permettent à une applet d’établir des connexions réseaux avec
des machines autres que celle l’ayant téléchargée. Elles permettent également à
une application malveillante de modifier les fichiers accessibles par
l’utilisateur l’exécutant.
5 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).
6 Documentation
* Bulletins de sécurité de Sun Microsystems 103071, 103072, 103073, 103078 et
103079 du 3 octobre 2007 :
http://sunsolve.sun.com/search/documents.do?assetkey=1-26-103071-1
http://sunsolve.sun.com/search/documents.do?assetkey=1-26-103072-1
http://sunsolve.sun.com/search/documents.do?assetkey=1-26-103073-1
http://sunsolve.sun.com/search/documents.do?assetkey=1-26-103078-1
http://sunsolve.sun.com/search/documents.do?assetkey=1-26-103079-1
* Bulletin de sécurité RedHat RHSA-2007:0963 du 12 octobre 2007 :
http://rhn.redhat.com/errata/RHSA-2007-0963.html
* Bulletin de sécurité RedHat RHSA-2007:1041 du 26 novembre 2007 :
http://rhn.redhat.com/errata/RHSA-2007-1041.html
* Bulletin de sécurité SuSE SUSE-SA:2007:055 du 17 octobre 2007 :
http://lists.opensuse.com/opensuse-security-announce/2007-10/msg00004.html
http://support.novell.com/techcenter/psdb/0c36b6416afc3868b8b1b9012955e323.html
* Bulletin de sécurité HP-UX c01234533 du 16 novembre 2007 :
http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=c01234533
* Référence CVE CVE-2007-5232 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5232
* Référence CVE CVE-2007-5238 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5238
* Référence CVE CVE-2007-5239 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5239
* Référence CVE CVE-2007-5240 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5240
* Référence CVE CVE-2007-5273 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5273
* Référence CVE CVE-2007-5274 :