L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de JDK : obtention d'informations via JMX RMI-IIOP

Synthèse de la vulnérabilité 

Un attaquant local peut accéder aux données des utilisateurs d'une application JMX RMI-IIOP.
Produits impactés : Java Oracle, Solaris, Trusted Solaris.
Gravité de ce bulletin : 1/4.
Date de création : 12/03/2007.
Références de cette menace : 102835, 4984695, BID-22907, VIGILANCE-VUL-6633.

Description de la vulnérabilité 

L'API JMX RMI-IIOP est fournie par Java Dynamic Management Kit (Java Management eXtensions, Remote Method Invocation over Internet Inter-ORB Protocol).

Lorsqu'un code a la permission de créer un connecteur JMX RMI-IIOP, mais ne peut pas accéder à certains MBeans, ce code peut contourner cette restriction.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette annonce sécurité concerne les logiciels ou systèmes comme Java Oracle, Solaris, Trusted Solaris.

Notre équipe Vigil@nce a déterminé que la gravité de cet avis de vulnérabilité est faible.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de shell utilisateur.

Un attaquant avec un niveau de compétence expert peut exploiter ce bulletin de faille.

Solutions pour cette menace 

JDK : patch pour RMI-IIOP.
Un patch est disponible :
SPARC Platform / x86 Platform
 - Java Dynamic Management Kit 5.1 :
      JDK 5.0 update 5 (http://java.sun.com/j2se/1.5.0/download.jsp)
      JDK 1.4 : patch 119044-03
 - Solaris 10 :
      JDK 5.0 update 5 (http://java.sun.com/j2se/1.5.0/download.jsp)
      JDK 1.4 : patch 124939-03
Windows
 - Java Dynamic Management Kit 5.1 :
      JDK 5.0 update 5 (http://java.sun.com/j2se/1.5.0/download.jsp)
      JDK 1.4 : patch 119045-03
Linux
 - Java Dynamic Management Kit 5.1 :
      JDK 5.0 update 5 (http://java.sun.com/j2se/1.5.0/download.jsp)
      JDK 1.4 : patch 119046-03
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit un bulletin de vulnérabilité de réseau. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.