L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de JRE, JDK, SDK : deux débordements

Synthèse de la vulnérabilité 

Deux débordements permettent à une applet illicite d'exécuter du code sur la machine de l'utilisateur.
Produits impactés : HP-UX, NLD, OES, openSUSE, Java Oracle, RHEL, SLES.
Gravité de ce bulletin : 3/4.
Nombre de vulnérabilités dans ce bulletin : 3.
Date de création : 20/12/2006.
Date de révision : 11/01/2007.
Références de cette menace : 102686, 102729, 102731, 6363511, 6363512, 6387628, 6393286, 6466389, 6469538, BID-21675, c00876579, CERTA-2006-AVI-570, CERTA-2007-AVI-121, CESA-2005-008, CVE-2006-6731, HPSBUX02196, RHSA-2007:0062-02, RHSA-2007:0072-01, RHSA-2007:0073-01, SSRT07138, SUSE-SA:2007:003, SUSE-SA:2007:010, VIGILANCE-VUL-6417, VU#149457, VU#939609.

Description de la vulnérabilité 

L'environnement JRE contient plusieurs erreurs.

Un attaquant peut appeler la méthode filter() de java.awt.image.ConvolveOp afin de provoquer un débordement d'entier lors du calcul de la taille d'une image. [grav:3/4]

Un attaquant peut appeler la méthode filter() de java.awt.image.ConvolveOp afin de provoquer un débordement de buffer lors de la copie d'un tableau. [grav:3/4]

Plusieurs absences de vérification de valeurs négatives pourraient aussi être exploitées. [grav:3/4]

Les deux débordements permettent à une applet illicite d'exécuter du code sur la machine de l'utilisateur.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Ce bulletin de faille informatique concerne les logiciels ou systèmes comme HP-UX, NLD, OES, openSUSE, Java Oracle, RHEL, SLES.

Notre équipe Vigil@nce a déterminé que la gravité de cette vulnérabilité informatique est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Ce bulletin concerne 3 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cette vulnérabilité cyber-sécurité.

Solutions pour cette menace 

JDK, JRE : version 5.0 Update 8.
La version 5.0 Update 8 est corrigée :
  http://java.sun.com/javase/downloads/index_jdk5.jsp
  http://java.com/

SDK, JRE : version 1.4.2_13.
La version 1.4.2_13 est corrigée :
  http://java.sun.com/j2se/1.4.2/download.html

SDK, JRE : version 1.3.1_19.
La version 1.3.1_19 est corrigée :
  http://java.sun.com/j2se/1.3/download.html

HP-UX : révision 1.5.0.06, 1.4.2.12.00, 1.3.1.20 de JDK/JRE/SDK.
Les versions 1.5.0.06, 1.4.2.12.00 et 1.3.1.20 sont corrigées:
  http://www.hp.com/go/java

RHEL 2.1 : nouveaux paquetages IBMJava2.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 2.1:
  IBMJava2-JRE-1.3.1-12
  IBMJava2-SDK-1.3.1-11

RHEL Extras 4 : nouveaux paquetages java-1.5.0-ibm.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 4 Extras: java-1.5.0-ibm-1.5.0.3-1jpp.3.el4

RHEL Extras : nouveaux paquetages java-1.4.2-ibm.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 3 Extras: java-1.4.2-ibm-1.4.2.7-1jpp.4.el3
Red Hat Enterprise Linux version 4 Extras: java-1.4.2-ibm-1.4.2.7-1jpp.4.el4

SUSE : nouveaux paquetages IBMJava2.
De nouveaux paquetages sont disponibles :
   UnitedLinux 1.0
     http://support.novell.com/techcenter/psdb/95188799cf297558f0fc915c9d248d1a.html
   SuSE Linux Openexchange Server 4
     http://support.novell.com/techcenter/psdb/95188799cf297558f0fc915c9d248d1a.html
   SuSE Linux Enterprise Server 8
     http://support.novell.com/techcenter/psdb/95188799cf297558f0fc915c9d248d1a.html
   SuSE Linux Standard Server 8
     http://support.novell.com/techcenter/psdb/95188799cf297558f0fc915c9d248d1a.html
   SuSE Linux School Server
     http://support.novell.com/techcenter/psdb/95188799cf297558f0fc915c9d248d1a.html
   SUSE LINUX Retail Solution 8
     http://support.novell.com/techcenter/psdb/95188799cf297558f0fc915c9d248d1a.html
   SUSE SLES 10
     http://support.novell.com/techcenter/psdb/8924ac6b994acb949a8ad3572aba51d6.html
   SLE SDK 10
     http://support.novell.com/techcenter/psdb/8924ac6b994acb949a8ad3572aba51d6.html
   Open Enterprise Server
     http://support.novell.com/techcenter/psdb/f5b3f5adf5613e923c01c813a0923b58.html
   Novell Linux POS 9
     http://support.novell.com/techcenter/psdb/f5b3f5adf5613e923c01c813a0923b58.html
   SUSE SLES 9
     http://support.novell.com/techcenter/psdb/f5b3f5adf5613e923c01c813a0923b58.html

SUSE : nouveaux paquetages java (09/01/2007).
De nouveaux paquetages sont disponibles :
   openSUSE 10.2:
   ftp://ftp.suse.com/pub/suse/update/10.2/rpm/i586/java-1_4_2-sun-*_update13-3.1.i586.rpm
   SUSE LINUX 10.1:
   ftp://ftp.suse.com/pub/suse/update/10.1/rpm/i586/java-1_4_2-sun*-1.4.2.13-0.2.i586.rpm
   SUSE LINUX 10.0:
   ftp://ftp.suse.com/pub/suse/i386/update/10.0/rpm/i586/java-1_4_2*-1.4.2.13-0.1.i586.rpm
   SUSE LINUX 9.3:
   ftp://ftp.suse.com/pub/suse/i386/update/9.3/rpm/i586/java-1_4_2*-1.4.2.13-0.1.i586.rpm
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une alerte de vulnérabilité de logiciel. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications.