S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 30 novembre 2005
N° CERTA-2005-AVI-474-003
Affaire suivie par: CERT-FR
le 30 novembre 2005

Avis du CERT-FR

Objet: Multiples vulnérabilités dans la machine virtuelle Java de Sun

Gestion du document

Référence CERTA-2005-AVI-474-003
Titre Multiples vulnérabilités dans la machine virtuelle Java de Sun
Date de la première version 30 novembre 2005
Date de la dernière version 16 janvier 2006
Source(s) Bulletin de sécurité Sun du 28 novembre 2005
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

  • SDK et JRE versions 1.3.1 Update 15 (1.3.1_15) et antérieures ;
  • SDK et JRE versions 1.4.2 Update 8 (1.4.2_08) et antérieures ;
  • SDK et JRE versions 1.5.0 Update 3 (1.5.0_03) et antérieures.

Résumé

De multiples vulnérabilités dans la machine virtuelle Java de Sun permettent à un utilisateur distant mal intentionné d'exécuter du code arbitraire.

Description

La machine virtuelle Java ou JRE (Java Runtime Environment) permet d'exécuter des applications Java. Plusieurs vulnérabilités présentes dans certaines API (Application Programming Interfaces) Java permettent à un utilisateur distant mal intentionné d'exécuter du code arbitraire par le biais d'une applet malicieusement construite.

Solution

Documentation

Gestion détaillée du document

    le 30 novembre 2005
    version initiale.
    le 02 décembre 2005
    ajout de la référence au bulletin de sécurité Apple.
    le 08 décembre 2005
    corrections et précisions sur les versions impactées.
    le 16 janvier 2006
    ajout des références aux bulletins de sécurité SUSE et Gentoo et des références CVE.