Risque
- Contournement de la politique de sécurité ;
- exécution de code arbitraire à distance.
Systèmes affectés
Tout système Windows, Solaris ou Linux utilisant :
- Java 2 Standard Edition (J2SE) version 5.0 (1.5.0) dans une version précédent l'« Update 2 » ;
- J2SE 1.4.2 dans une version antérieure à la 1.4.2_08.
Résumé
Des vulnérabilités peuvent être exploitées par des appliquettes quelconques pour élever leurs privilèges ce qui permet, par exemple, d'exécuter du code ou d'accéder à des fichiers arbitraires.
Description
Les failles concernent, d'une part, le « Java Runtime Environment » (JRE) et peuvent donc être exploitées par des sites malicieux à travers tout navigateur utilisant l'environnement de Sun, et d'autre part, l'outil « Java Web Start » qui peut être invoqué par un navigateur ou l'interface graphique du bureau.
Contournement provisoire
Désactiver l'invocation automatique de « Java Web Start » dans les navigateurs et dans l'explorateur pour Microsoft Windows.
Supprimer l'exécution des appliquettes Java dans les navigateurs ou la restreindre à des appliquettes de confiance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site officiel Java de Sun :
http://java.sun.com
- Bulletin de sécurité Sun ID 101748 du 13 juin 2005 :
http://sunsolve.sun.com/search/document.do?assetkey=1-26-101748-1
- Bulletin de sécurité Sun ID 101749 du 13 juin 2005 :
http://sunsolve.sun.com/search/document.do?assetkey=1-26-101749-1
- Bulletin de sécurité Blackdown Java-Linux Blackdown-SA-2005-02 du 14 juin 2005 :
http://www.blackdown.org/java-linux/java2-status/security/Blackdown-SA-2005-02.txt
- Bulletin de sécurité Gentoo GLSA 200506-14 du 19 juin 2005 :
http://www.gentoo.org/security/en/glsa/glsa-200506-14.xml
- Bulletin de sécurité SUSE SUSE-SA:2005:032 du 22 juin 2005 :
http://www.novell.com/linux/security/advisories/2005_32_java2.html
- Référence CVE CAN-2005-1974 :
https://www.cve.org/CVERecord?id=CAN-2005-1974
