S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 10 janvier 2013
N° CERTA-2013-ALE-001-002
Affaire suivie par: CERT-FR
le 10 janvier 2013

Bulletin d'alerte du CERT-FR

Objet: Vulnérabilités dans Oracle Java

Gestion du document

Référence CERTA-2013-ALE-001-002
Titre Vulnérabilités dans Oracle Java
Date de la première version 10 janvier 2013
Date de la dernière version 15 janvier 2013
Source(s) Bulletin de sécurité Oracle Java version 1.7 du 13 janvier 2013
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

  • Oracle Java version 7 (première vulnérabilité)
  • Versions antérieures à Oracle Java version 7 mise à jour 11 (deuxième vulnérabilité)

Résumé

Deux vulnérabilités ont été découvertes dans Oracle Java. La première vulnérabilité concerne la méthode "findClass" de la classe MBeanInstantiator. Cette vulnérabilité est présente dans Oracle Java version 7.
La deuxième vulnérabilité se trouve dans la nouvelle API Reflection de Oracle Java. Cette nouvelle API est disponible à partir de la branche 1.7 du produit. Cette vulnérabilité est donc présente dans les versions antérieures à Oracle Java version 7 mise à jour 11.
L'association des deux vulnérabilités permet à un attaquant d'exécuter du code arbitraire à distance au moyen d'une page Web spécialement conçue sur les postes possédant une version de Oracle Java antérieure à 1.7.11.
Ces vulnérabilités sont activement exploitées et largement diffusées.

Solution

Installer la dernière version stable de Oracle Java :

  • Oracle Java version 1.7.11

Documentation

Gestion détaillée du document

    le 10 janvier 2013
    version initiale.
    le 14 janvier 2013
    ajout du correctif éditeur
    le 15 janvier 2013
    mise à jour systèmes affectés