S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 23 mars 2009
N° CERTA-2009-AVI-111
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans Sun Java System Identity Manager

Gestion du document

Référence CERTA-2009-AVI-111
Titre Vulnérabilités dans Sun Java System Identity Manager
Date de la première version23 mars 2009
Date de la dernière version23 mars 2009
Source(s) Bulletin de sécurité Sun #253267 du 20 mars 2009

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Exécution de code indirecte
  • Exécution de commandes arbitraires à distance
  • Élévation de privilèges

Systèmes affectés

  • Sun Java System Identity Manager 7.0 ;
  • Sun Java System Identity Manager 7.1 ;
  • Sun Java System Identity Manager 7.1.1 ;
  • Sun Java System Identity Manager 8.0.

Résumé

Plusieurs vulnérabilités découvertes dans Sun Java System Identity Manager permettent à un utilisateur malintentionné de porter atteinte à l'intégrité et la confidentialité des données, d'exécuter à distance des commandes arbitraires présentes sur le système, de contourner la politique de sécurité et d'élever ses privilèges, mais également d'exécuter du code arbitraire dans le contexte de l'application de navigation Internet d'un utilisateur.

Certaines de ces vulnérabilités ne peuvent être exploitées uniquement si l'utilisateur malveillant dispose d'un compte valide.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 23 mars 2009
    version initiale.