S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 15 octobre 2007
N° CERTA-2007-AVI-440
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans la machine virtuelle JAVA (JRE) de SUN

Gestion du document

Référence CERTA-2007-AVI-440
Titre Multiples vulnérabilités dans la machine virtuelle JAVA (JRE) de SUN
Date de la première version15 octobre 2007
Date de la dernière version30 novembre 2007
Source(s) Bulletins de sécurité de Sun 103071, 103072, 103073, 103078 et 103079 du 3 octobre 2007
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité

Systèmes affectés

  • JDK et JRE 5.0, mise à jour 12, et les versions antérieures ;
  • JDK et JRE 6, mise à jour 2, et les versions antérieures ;
  • SDK et JRE 1.3.1_20 et les versions antérieures.
  • SDK et JRE 1.4.2_15 et les versions antérieures ;

Résumé

Plusieurs vulnérabilités dans la machine virtuelle Java (JRE) de SUN, permettant de contourner les politiques de sécurité réseaux et de gestion des fichiers, sont corrigées.

Description

Plusieurs vulnérabilités dans la machine virtuelle Java (JRE) de SUN sont corrigées. Elles permettent à une applet d'établir des connexions réseaux avec des machines autres que celle l'ayant téléchargée. Elles permettent également à une application malveillante de modifier les fichiers accessibles par l'utilisateur l'exécutant.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 15 octobre 2007
    version initiale.
    le 16 novembre 2007
    ajout de la référence au bulletin de sécurité HP-UX.
    le 30 novembre 2007
    ajout des références aux bulletins de sécurité SuSE et RedHat.