S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 27 février 2001
N° CERTA-2001-AVI-022
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans le <SPAN class= "textit">Java Runtime Environment</SPAN> (JRE) de Sun

Gestion du document

Référence CERTA-2001-AVI-022
Titre Vulnérabilité dans le <SPAN class= "textit">Java Runtime Environment</SPAN> (JRE) de Sun
Date de la première version 27 février 2001
Date de la dernière version 27 février 2001
Source(s) Bulletins de sécurité Sun et HP
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de commandes systèmes interdites, élévation de privilèges

Systèmes affectés

Indépendamment du système, les versions suivantes de SDK (Software Development Kit) et JRE sont vulnérables :

  • Sous Windows et Solaris :
    • SDK et JRE 1.2.2_005 et précédentes ;
    • SDK et JRE 1.2.1_003 et précédentes ;
    • JDK et JRE 1.1.8_003 et précédentes ;
    • JDK et JRE 1.1.7B_005 et précédentes ;
    • JDK et JRE 1.1.6_007 et précédentes.
  • Sous Solaris :
    • SDK et JRE 1.2.2_05a et précédentes ;
    • SDK et JRE 1.2.1 ;
    • JDK et JRE 1.1.8_10 et précédentes ;
    • JDK et JRE 1.1.7B ;
    • JDK et JRE 1.1.6.
  • Sous Linux : SDK et JRE 1.2.2_005 et précédentes.
  • Sous HP MPE/iX versions 5.5, 6.0 et 6.5 :
    • JDK/JRE 1.1 ;
    • JDK/JRE 1.2 ;
    • MPE Versions A.22.04 et supérieures.

Résumé

Une vulnérabilité du Java Runtime Environment permet à un utilisateur mal intentionné d'exécuter des commandes qui lui sont normalement interdites à l'aide d'une classe Java.

Description

Une classe java habilement construite peut faire appel à des commandes non autorisées du système. Cependant, il faut pour cela que la permission ait été donnée à Java d'exécuter au moins une commande.

Contournement provisoire

Retirer à Java la permission d'exécuter des commandes en attendant d'appliquer le correctif.

Solution

Appliquer le correctif en fonction du produit :

  • SDK et JRE 1.2.2_007 :

    http://java.sun.com/products/jdk/1.2/

  • SDK et JRE 1.2.1_004

    http://java.sun.com/products/jdk/1.2.1/

  • SDK et JRE 1.1.8_006

    http://java.sun.com/products/jdk/1.1/

  • SDK et JRE 1.1.7B_007

    http://java.sun.com/products/jdk/1.1.7B/

  • SDK et JRE 1.1.6_009

    http://java.sun.com/products/jdk/1.1.6/

  • JDK et JRE 1.2.2_007 :

    http://www.sun.com/software/solaris/java/download.html

  • JDK et JRE 1.1.8_12 Pour Solaris :

    http://www.sun.com/software/solaris/java/archive.html

  • Pour HP MPE/iX 5.5 rechercher le correctif MPELX89D à l'adresse suivante :

    http://itrc.com/

  • Pour HP MPE/iX 6.0 rechercher le correctif MPELX89E à l'adresse suivante :

    http://itrc.hp.com/

  • Pour HP MPE/iX 6.5 rechercher le correctif MPELX89F à l'adresse suivante :

    http://itrc.hp.com/

Documentation

Gestion détaillée du document

    le 27 février 2001
    version initiale.