S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 23 mars 2009
N° CERTA-2009-AVI-111
Affaire suivie par: CERT-FR
le 23 mars 2009

Avis du CERT-FR

Objet: Vulnérabilités dans Sun Java System Identity Manager

Gestion du document

Référence CERTA-2009-AVI-111
Titre Vulnérabilités dans Sun Java System Identity Manager
Date de la première version 23 mars 2009
Date de la dernière version 23 mars 2009
Source(s) Bulletin de sécurité Sun #253267 du 20 mars 2009
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de commandes arbitraires à distance ;
  • contournement de la politique de sécurité ;
  • atteinte à l'intégrité des données ;
  • atteinte à la confidentialité des données ;
  • exécution de code indirecte ;
  • élévation de privilèges.

Systèmes affectés

  • Sun Java System Identity Manager 7.0 ;
  • Sun Java System Identity Manager 7.1 ;
  • Sun Java System Identity Manager 7.1.1 ;
  • Sun Java System Identity Manager 8.0.

Résumé

Plusieurs vulnérabilités découvertes dans Sun Java System Identity Manager permettent à un utilisateur malintentionné de porter atteinte à l'intégrité et la confidentialité des données, d'exécuter à distance des commandes arbitraires présentes sur le système, de contourner la politique de sécurité et d'élever ses privilèges, mais également d'exécuter du code arbitraire dans le contexte de l'application de navigation Internet d'un utilisateur.

Certaines de ces vulnérabilités ne peuvent être exploitées uniquement si l'utilisateur malveillant dispose d'un compte valide.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 23 mars 2009
    version initiale.