Objet: Vulnérabilités dans IBM Java

Risque

• Exécution de code arbitraire à distance ;
• déni de service à distance ;
• contournement de la politique de sécurité ;
• atteinte à la confidentialité des données ;
• atteinte à l'intégrité des données ;
• élévation de privilèges.

Systèmes affectés

• IBM Java 5.x :
• IBM Java 6.x.

Résumé

Plusieurs vulnérabilités dans IBM Java permettent à un utilisateur distant malintentionné de porter atteinte à la confidentialité et à l'intégrité des données, de contourner la politique de sécurité, de provoquer un déni de service ou encore d'exécuter du code arbitraire avec des privilèges élevés.

Description

• Une vulnérabilité dans le système audio du Java Runtime Environment peut être exploitée afin de porter atteinte à la confidentialité des propriétés du système (CVE-2009-2670) ;
• trois vulnérabilités dans la mise en œuvre du serveur mandataire (proxy) dans Java Runtime Environment permettent à un utilisateur de porter atteinte à la confidentialité des données et d'obtenir un cookie de session de navigation ou de réaliser des connexions non autorisées depuis le système vulnérable (CVE-2009-2671, CVE-2009-2672 et CVE-2009-2673) ;
• une vulnérabilité de type débordement de mémoire permet à un utilisateur de faire exécuter une appliquette Java non-sûre avec des privilèges élevés (CVE-2009-2675).
• une vulnérabilité présente dans l'appliquette JNLPAppletLauncher permet à un utilisateur distant malveillant de porter atteinte à l'intégrité du système et potentiellement d'exécuter du code arbitraire sous la forme d'une appliquette.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité IBM Java du 10 août 2009 :

  http://www.ibm.com/developerworks/java/jdk/alerts/
  

• Bulletin de sécurité RedHat RHSA-2009:1199 du 06 août 2009 :

  http://rhn.redhat.com/errata/RHSA-2009-1199.html
  

• Bulletin de sécurité RedHat RHSA-2009:1200 du 06 août 2009 :

  http://rhn.redhat.com/errata/RHSA-2009-1200.html
  

• Bulletin de sécurité RedHat RHSA-2009:1201 du 06 août 2009 :

  http://rhn.redhat.com/errata/RHSA-2009-1201.html
  

• Bulletin de sécurité RedHat RHSA-2009:1236 du 28 août 2009 :

  http://rhn.redhat.com/errata/RHSA-2009-1236.html
  

• Bulletin de sécurité Ubuntu USN-814-1 du 11 août 2009 :

  http://www.ubuntulinux.org/usn/usn-814-1
  

• Bulletin de sécurité SuSE SUSE-SA:2009:043 du 07 août 2009 :

  http://www.novell.com/linux/security/advisories/2009_43_sunjava.html
  

• Référence CVE CVE-2009-2670 :

  https://www.cve.org/CVERecord?id=CVE-2009-2670
  

• Référence CVE CVE-2009-2671 :

  https://www.cve.org/CVERecord?id=CVE-2009-2671
  

• Référence CVE CVE-2009-2672 :

  https://www.cve.org/CVERecord?id=CVE-2009-2672
  

• Référence CVE CVE-2009-2673 :

  https://www.cve.org/CVERecord?id=CVE-2009-2673
  

• Référence CVE CVE-2009-2675 :

  https://www.cve.org/CVERecord?id=CVE-2009-2675
  

• Référence CVE CVE-2009-2676 :

  https://www.cve.org/CVERecord?id=CVE-2009-2676