S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 14 septembre 2005
N° CERTA-2005-AVI-344
Affaire suivie par: CERT-FR
le 14 septembre 2005

Avis du CERT-FR

Objet: Multiples vulnérabilités de la plateforme Java sous MacOS X

Gestion du document

Référence CERTA-2005-AVI-344
Titre Multiples vulnérabilités de la plateforme Java sous MacOS X
Date de la première version 14 septembre 2005
Date de la dernière version 14 septembre 2005
Source(s) Bulletin de sécurité Apple du 13 septembre 2005
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Elévation de privilèges ;
  • divulgation d'information ;
  • contournement de la politique de sécurité.

Systèmes affectés

Les versions de Java 1.3.1 antérieures à 1.3.1_16 et 1.4.2 antérieures à 1.4.2_09 sont vulnérables.

Les mises à jour sont disponibles sur les systèmes Mac OS X Panther (Mac OS X 10.3) et MAC OS X Tiger (Mac OS X 10.4).

Description

Cinq vulnérabilités affectent la plate-forme Java sous Mac OS X.

  • Une première vulnérabilité permet la corruption de fichiers ou la création arbitraire de fichiers (CAN-2005-2527) ;
  • une deuxième vulnérabilité permet également la corruption de fichiers ou la création arbitraire de fichiers (CAN-2005-2528) ;
  • une troisième vulnérabilité permet à un utilisateur local mal intentionné d'obtenir une élévation de privilèges (CAN-2005-2529) ;
  • une quatrième vulnérabilité permet à une «appliquette» Java d'obtenir une élévation de privilèges (CAN-2005-2530) ;
  • une cinquième vulnérabilité permet l'interception de trafic réseau à destination d'un ServerSocket particulier (CAN-2005-2538).

Solution

Se référer au bulletin de sécurité des éditeurs pour l'obtention des correctifs (cf. Documentation).

Gestion détaillée du document

    le 14 septembre 2005
    version initiale.