Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Systèmes HP-UX B11.11 et 11.23 avec les de machines java suivantes :
- JRE et SDK 1.3.x antérieures à la version 1.3.1.20 ;
- JRE et SDK 1.4.x antérieures à la version 1.4.2.12 ;
- JDK et JRE 1.5.x antérieures à la version 1.5.0.06.
Description
Plusieurs vulnérabilités ont été découvertes dans les environnements Java de Sun. Ces vulnérabilités peuvent être exploitées par des applets de niveau de confiance nul afin d'accéder en lecture, écriture et/ou exécution à des fichiers du système. L'exploitation de certaines de ces vulnérabilités permettent de plus à un utilisateur malintentionné d'accéder à des privilèges plus élevés. L'exécution de code arbitraire à distance est alors possible.
Solution
Les version 1.3.1.20, 1.4.2.12 et 1.5.0.06 remédient à ces vulnérabilités. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité HP HPSBUX02196 du 09 mars 2007 : http://itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX02196
- Document du CERTA CERTA-2006-AVI-570 du 22 décembre 2006 : http://www.certa.ssi.gouv.fr/site/CERTA-2006-AVI-570/index.html
- Référence CVE CVE-2006-6731 https://www.cve.org/CVERecord?id=CVE-2006-6731
- Référence CVE CVE-2006-6745 https://www.cve.org/CVERecord?id=CVE-2006-6745
- Référence CVE CVE-2007-0243 https://www.cve.org/CVERecord?id=CVE-2007-0243