Vigil@nce : Java JDK/JRE/SDK, multiples vulnérabilités
juillet 2008 par Vigil@nce
Plusieurs vulnérabilités ont été annoncées dans Java JDK/JRE/SDK.
– Gravité : 4/4
– Conséquences : accès/droits utilisateur, lecture de données,
– création/modification de données
– Provenance : document
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 09/07/2008
– Référence : VIGILANCE-VUL-7943
PRODUITS CONCERNÉS
– Fedora [versions confidentielles]
– Java JRE/JDK [versions confidentielles]
– Java JRE/JDK/J2SE [versions confidentielles]
– Java JRE/SDK [versions confidentielles]
– Java JRE/SDK/J2SE [versions confidentielles]
DESCRIPTION
Plusieurs vulnérabilités ont été annoncées dans Java JDK/JRE/SDK.
Un attaquant peut utiliser des données XML pour accéder à
certaines ressources. [grav:1/4 ; 238628, 6542088, 6607339]
Une applet/application illicite peut utiliser une police de
caractères pour exécuter du code sur le système. [grav:4/4 ;
238666, 6450319]
Une applet/application illicite peut utiliser le langage de
scripts pour exécuter du code sur le système. [grav:4/4 ; 238687,
6529568, 6529579]
Plusieurs vulnérabilités de Java Web Start permettent à un
attaquant d’exécuter du code, d’accéder aux fichiers ou d’obtenir
des informations. [grav:3/4 ; 238905, 6557220, 6703909, 6704074,
6704077]
Un client JMX (Java Management Extensions) peut effectuer des
opérations privilégées lorsque le local monitoring
(sun.management.JMXConnectorServer.address) est activé. [grav:2/4 ;
238965, 6332953]
Depuis la version JRE 5.0 Update 6, une applet s’exécute toujours
sur la version du JRE la plus récente. Cependant, si une ancienne
version est installée, cette version (potentiellement vulnérable)
est utilisée. [grav:1/4 ; 238966, 6581221]
Une applet/application illicite peut exécuter du code sur le
système. [grav:4/4 ; 238967, 6661918]
Une applet Java illicite peut ouvrir une connexion socket TCP/UDP
vers une adresse IP de son choix. [grav:2/4 ; 238968, 6687392]
CARACTÉRISTIQUES
– Références : 238628, 238666, 238687, 238905, 238965, 238966,
238967, 238968, 6332953, 6450319, 6529568, 6529579, 6542088,
6557220, 6581221, 6607339, 6661918, 6687392, 6703909, 6704074,
6704077, FEDORA-2008-6271, VIGILANCE-VUL-7943
– Url : https://vigilance.aql.fr/arbre/1/7943