Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Déni de service
  • Exécution de code arbitraire à distance
  • Élévation de privilèges

Systèmes affectés

  • Sun Java Enterprise System 5.x (JSSE) 1.x ;
  • Sun Java JDK 1.5.x ;
  • Sun Java JDK 1.6.x ;
  • Sun Java JRE 1.3.x ;
  • Sun Java JRE 1.4.x ;
  • Sun Java JRE 1.5.x / 5.x ;
  • Sun Java JRE 1.6.x / 6.x ;
  • Sun Java SDK 1.3.x ;
  • Sun Java SDK 1.4.x.

Résumé

Plusieurs vulnérabilités dans les paquetages java-1.4.2-ibm permettent à un utilisateur malveillant de contourner la politique de sécurité du système vulnérable.

Description

Une première vulnérabilité, liée à Java Web Start, permet à un utilisateur d'élever ses privilèges et d'accéder indûment à des fichiers en lecture et en modification (CVE-2007-2435).

Une seconde vulnérabilité permet à une application (ou à une applet) d'élever ses privilèges et d'exécuter un code arbitraire sur la machine virtuelle (CVE-2007-3004).

Une troisième vulnérabilité permet de bloquer la machine virtuelle, provoquant un déni de service (CVE-2007-3005).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation