Risque
Contournement de la politique de sécurité.
Systèmes affectés
- JDK et JRE 6, mise à jour 2, et les versions antérieures ;
- JDK et JRE 5.0, mise à jour 12, et les versions antérieures ;
- SDK et JRE 1.4.2_15 et les versions antérieures ;
- SDK et JRE 1.3.1_20 et les versions antérieures.
Résumé
Plusieurs vulnérabilités dans la machine virtuelle Java (JRE) de SUN, permettant de contourner les politiques de sécurité réseaux et de gestion des fichiers, sont corrigées.
Description
Plusieurs vulnérabilités dans la machine virtuelle Java (JRE) de SUN sont corrigées. Elles permettent à une applet d'établir des connexions réseaux avec des machines autres que celle l'ayant téléchargée. Elles permettent également à une application malveillante de modifier les fichiers accessibles par l'utilisateur l'exécutant.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletins de sécurité de Sun Microsystems 103071, 103072, 103073, 103078 et 103079 du 3 octobre 2007 :
http://sunsolve.sun.com/search/documents.do?assetkey=1-26-103071-1
http://sunsolve.sun.com/search/documents.do?assetkey=1-26-103072-1
http://sunsolve.sun.com/search/documents.do?assetkey=1-26-103073-1
http://sunsolve.sun.com/search/documents.do?assetkey=1-26-103078-1
http://sunsolve.sun.com/search/documents.do?assetkey=1-26-103079-1
- Bulletin de sécurité RedHat RHSA-2007:0963 du 12 octobre 2007 :
http://rhn.redhat.com/errata/RHSA-2007-0963.html
- Bulletin de sécurité RedHat RHSA-2007:1041 du 26 novembre 2007 :
http://rhn.redhat.com/errata/RHSA-2007-1041.html
- Bulletin de sécurité SuSE SUSE-SA:2007:055 du 17 octobre 2007 :
http://lists.opensuse.com/opensuse-security-announce/2007-10/msg00004.html
http://support.novell.com/techcenter/psdb/0c36b6416afc3868b8b1b9012955e323.html
- Bulletin de sécurité HP-UX c01234533 du 16 novembre 2007 :
http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=c01234533
- Référence CVE CVE-2007-5232 :
https://www.cve.org/CVERecord?id=CVE-2007-5232
- Référence CVE CVE-2007-5238 :
https://www.cve.org/CVERecord?id=CVE-2007-5238
- Référence CVE CVE-2007-5239 :
https://www.cve.org/CVERecord?id=CVE-2007-5239
- Référence CVE CVE-2007-5240 :
https://www.cve.org/CVERecord?id=CVE-2007-5240
- Référence CVE CVE-2007-5273 :
https://www.cve.org/CVERecord?id=CVE-2007-5273
- Référence CVE CVE-2007-5274 :
https://www.cve.org/CVERecord?id=CVE-2007-5274