Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Oracle Java version 7 (première vulnérabilité)
- Versions antérieures à Oracle Java version 7 mise à jour 11 (deuxième vulnérabilité)
Résumé
Deux vulnérabilités ont été découvertes dans Oracle
Java. La première vulnérabilité concerne la méthode "findClass"
de la classe MBeanInstantiator. Cette vulnérabilité est présente dans
Oracle Java version 7.
La deuxième vulnérabilité se trouve dans la nouvelle API Reflection de Oracle
Java. Cette nouvelle API est disponible à partir de la branche
1.7 du produit. Cette vulnérabilité est donc présente dans les versions
antérieures à Oracle Java version 7 mise à
jour 11.
L'association des deux vulnérabilités permet à un attaquant d'exécuter
du code arbitraire à distance au moyen d'une page Web spécialement
conçue sur les postes possédant une version de Oracle Java antérieure à 1.7.11.
Ces vulnérabilités sont activement exploitées et largement diffusées.
Solution
Installer la dernière version stable de Oracle Java :
- Oracle Java version 1.7.11
Documentation
- Bulletin de sécurité Oracle Java version 1.7 du 13 janvier 2013 : http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html
- Référence CVE CVE-2012-3174 https://www.cve.org/CVERecord?id=CVE-2012-3174
- Référence CVE CVE-2013-0422 https://www.cve.org/CVERecord?id=CVE-2013-0422
