L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Java Plug-in : exécution de commandes

Synthèse de la vulnérabilité 

Le Java Plug-in de Sun permet à un attaquant de créer une page exécutant du code sur la machine de l'utilisateur.
Produits vulnérables : Fedora, HP-UX, Mandriva Linux, IE, Firefox, Mozilla Suite, openSUSE, Java Oracle, RHEL, SEF, Unix (plateforme) ~ non exhaustif.
Gravité de cette faille : 3/4.
Nombre de vulnérabilités dans ce bulletin : 2.
Date de création : 23/11/2004.
Dates de révisions : 24/11/2004, 02/12/2004, 21/12/2004, 23/12/2004, 29/12/2004, 05/01/2005, 07/01/2005, 20/01/2005, 26/01/2005.
Références de ce bulletin : advisory-20041220-1, BID-11726, BID-12046, BID-12317, CERTA-2004-AVI-377, CERTA-2004-AVI-413, CERTA-2005-AVI-028, CVE-2004-1029, CVE-2004-1145, FEDORA-2005-063, FEDORA-2005-064, HP01100, HPSBUX01214, iDEFENSE Security Advisory 11.22.04, MDKSA-2004:154, RHSA-2005:065, SSRT051003, Sun Alert 57591, Sun Alert 57708, Sun Alert ID 57591, Sun Alert ID 57708, Sun BugID 5045568, SUSE-SR:2005:002, SYM05-001, V6-WEBJAVASCRIPTSANDBOX, VIGILANCE-VUL-4530, VU#420222, VU#760344.

Description de la vulnérabilité 

La technologie Java Plug-in permet d'exécuter des applets Java dans un navigateur web.

Les fonctionnalités disponibles sont restreintes à l'aide d'une "sandbox" afin que l'applet ne puisse pas accéder au système. Seules les applets signées et acceptées peuvent utiliser les fonctionnalités privilégiées (lecture de fichier, exécution de programme, etc.).

Cependant, ce contrôle d'accès n'est pas effectué si un script Javascript accède à une classe Java.

Un attaquant peut donc créer un script Javascript utilisant une fonctionnalité Java privilégiée.

Cette vulnérabilité permet ainsi à un attaquant d'exécuter du code sur la machine de l'utilisateur, consultant une page web illicite.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cet avis de menace informatique concerne les logiciels ou systèmes comme Fedora, HP-UX, Mandriva Linux, IE, Firefox, Mozilla Suite, openSUSE, Java Oracle, RHEL, SEF, Unix (plateforme) ~ non exhaustif.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin cyber-sécurité est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de serveur internet.

Ce bulletin concerne 2 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cette alerte de faille.

Solutions pour cette menace 

Java : solution générique.
Les versions 1.4.2_06 et 1.3.1_13 sont corrigées :
  http://java.sun.com/j2se/
Une contre-mesure consiste à désactiver les applets Java sur le navigateur web.

Konqueror : version et patch.
La version 3.3.2 est corrigée.
Un correctif est disponible pour la version 3.2.3 :
  ftp://ftp.kde.org/pub/kde/security_patches/post-3.2.3-kdelibs-khtml-java.tar.bz2

Symantec Enterprise Firewall : version JRE.
Le JRE est utilisé pour administrer le firewall. Ce dernier installe donc le JRE sur la machine du client.
De nouvelles versions sont disponibles :
  ftp://ftp.symantec.com/public/updates/jre-80s-readme.txt
  ftp://ftp.symantec.com/public/updates/jre-80s.tgz
  ftp://ftp.symantec.com/public/updates/jre-80w-readme.txt
  ftp://ftp.symantec.com/public/updates/jre-80w.tgz

Fedora : nouveaux paquetages kdelibs.
De nouveaux paquetages sont disponibles :
  http://download.fedora.redhat.com/pub/fedora/linux/core/updates/2/
0efe71b0d35e297f239e6376b2452a3f SRPMS/kdelibs-3.2.2-12.FC2.src.rpm
78f769500b2ec6dac3d6bd61b1e02d1f x86_64/kdelibs-3.2.2-12.FC2.x86_64.rpm
8d9e4b771b96e053cce9992f285bb5f1 x86_64/kdelibs-devel-3.2.2-12.FC2.x86_64.rpm
d16eed0092332a4d06d430087e6a1390 x86_64/debug/kdelibs-debuginfo-3.2.2-12.FC2.x86_64.rpm
a55363ab580be24758250f05d4aeb486 i386/kdelibs-3.2.2-12.FC2.i386.rpm
6f8be5db61a8bace97586a93df0c9b69 i386/kdelibs-devel-3.2.2-12.FC2.i386.rpm
cfee4e7a8411b7902c6e75c90a2fe153 i386/debug/kdelibs-debuginfo-3.2.2-12.FC2.i386.rpm
  http://download.fedora.redhat.com/pub/fedora/linux/core/updates/3/
09041dea148cec9c35af2ad07d3ecf88 SRPMS/kdelibs-3.3.1-2.6.FC3.src.rpm
d9bb548ef27e29639713de00c3f2f864 x86_64/kdelibs-3.3.1-2.6.FC3.x86_64.rpm
4a131abf1fb8bfd68385c6878837243f x86_64/kdelibs-devel-3.3.1-2.6.FC3.x86_64.rpm
ec20ba48b63ca3e7d031651809806426 x86_64/debug/kdelibs-debuginfo-3.3.1-2.6.FC3.x86_64.rpm
46d5a8953361e01c4b6ab4d08ddb8c9f x86_64/kdelibs-3.3.1-2.6.FC3.i386.rpm
46d5a8953361e01c4b6ab4d08ddb8c9f i386/kdelibs-3.3.1-2.6.FC3.i386.rpm
26f1eb24d0604ddce27bf836f94d6cde i386/kdelibs-devel-3.3.1-2.6.FC3.i386.rpm
dcc826891c032d57875e8b523e82ffca i386/debug/kdelibs-debuginfo-3.3.1-2.6.FC3.i386.rpm

HP-UX : version de Java Web Start.
Des mises à jour sont disponibles à http://www.hp.com/go/java :
  Jdk15.*, Jre15.* : version 5.0.01.00

HP-UX : version Java.
Pour Java 1.4.X.XX: installer Java 1.4.2.06.00 (T1456AA (JDK 1.4), T1457AA (JRE 1.4), T1458AA (JPI 1.4))
Pour Java 1.3.X.XX: installer Java 1.3.1.14.00 (B9788AA (JDK 1.3), B9789AA (JRE 1.3), T1455AA(JPI 1.3))
  http://www.hp.com/go/java

Mandrake : nouveaux paquetages kdelibs.
De nouveaux paquetages sont disponibles:
 Mandrakelinux 10.0:
 cf896a582eb5e86b44d28ba5187a8bd1 10.0/RPMS/kdelibs-common-3.2-36.7.100mdk.i586.rpm
 95e70b55d076356f2b1b15be3bc82d67 10.0/RPMS/libkdecore4-3.2-36.7.100mdk.i586.rpm
 69bd5ef5db84ce6fb75fe00ba30cb8b0 10.0/RPMS/libkdecore4-devel-3.2-36.7.100mdk.i586.rpm
 add624cce5c6276155bb2beae8684be3 10.0/SRPMS/kdelibs-3.2-36.7.100mdk.src.rpm
 Mandrakelinux 10.0/AMD64:
 1192d2bffd4a0902e3ae85314aadff7c amd64/10.0/RPMS/kdelibs-common-3.2-36.7.100mdk.amd64.rpm
 092b1adb47f2ee7361202fb3961daec2 amd64/10.0/RPMS/lib64kdecore4-3.2-36.7.100mdk.amd64.rpm
 54febb9104d36727b1912f874f8ddeb6 amd64/10.0/RPMS/lib64kdecore4-devel-3.2-36.7.100mdk.amd64.rpm
 add624cce5c6276155bb2beae8684be3 amd64/10.0/SRPMS/kdelibs-3.2-36.7.100mdk.src.rpm
 Mandrakelinux 10.1:
 69e937991e7295a12c0fcb2deddbf17e 10.1/RPMS/kdelibs-common-3.2.3-99.1.101mdk.i586.rpm
 e1418cf4339274ad2a7ab04a9bf827bd 10.1/RPMS/libkdecore4-3.2.3-99.1.101mdk.i586.rpm
 c8b6e944438fc55d779acb0164443f1b 10.1/RPMS/libkdecore4-devel-3.2.3-99.1.101mdk.i586.rpm
 8d35b4a058364c775964bed572609d09 10.1/SRPMS/kdelibs-3.2.3-99.1.101mdk.src.rpm
 Mandrakelinux 10.1/X86_64:
 4e8f39434fcca6243db2202a2219e674 x86_64/10.1/RPMS/kdelibs-common-3.2.3-99.1.101mdk.x86_64.rpm
 e7c19866ad0b280640ef7f34b79896ea x86_64/10.1/RPMS/lib64kdecore4-3.2.3-99.1.101mdk.x86_64.rpm
 4f4a0ae29057043790019e31713a11d0 x86_64/10.1/RPMS/lib64kdecore4-devel-3.2.3-99.1.101mdk.x86_64.rpm
 8d35b4a058364c775964bed572609d09 x86_64/10.1/SRPMS/kdelibs-3.2.3-99.1.101mdk.src.rpm

RHEL : nouveaux paquetages kdelibs.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 4: kdelibs-3.3.1-3.3

SuSE : nouveaux paquetages xpdf, awstats, mpg123, squirrelmail, MozillaThunderbird, mailman, xine-lib, exim et imlib2.
Des mises à jour sont disponibles sur le serveur FTP de SuSE ou par YaST.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit un patch de sécurité informatique. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.