L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Java Web Start : élévation de privilèges via JNLP

Synthèse de la vulnérabilité 

Une applet illicite peut accéder aux fichiers locaux de la machine de la victime via Java Web Start.
Logiciels vulnérables : Java Oracle, RHEL.
Gravité de cette annonce : 3/4.
Date de création : 02/05/2007.
Références de cette vulnérabilité informatique : 102881, 6461918, BID-23728, CERTA-2007-AVI-238, CERTA-2007-AVI-348, CVE-2007-2435, RHSA-2007:0817-01, RHSA-2007:0818-01, RHSA-2007:0829-01, RHSA-2008:0261-01, RHSA-2008:0524-01, VIGILANCE-VUL-6775.

Description de la vulnérabilité 

Le protocole JNLP (Java Networking Launching Protocol) permet d'exécuter des applets distantes sans les installer.

Une vulnérabilité a été annoncée dans JNLP, fourni par Java Web Start. Elle permet à une applet illicite d'acquérir le droit de lire ou d'écrire des fichiers sur la machine de la victime.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette menace sécurité concerne les logiciels ou systèmes comme Java Oracle, RHEL.

Notre équipe Vigil@nce a déterminé que la gravité de cet avis de faille est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Un attaquant avec un niveau de compétence expert peut exploiter cet avis de vulnérabilité.

Solutions pour cette menace 

Java JDK/JRE : version 5.0 Update 11.
La version 5.0 Update 11 est corrigée :
    * http://java.sun.com/j2se/1.5.0/download.jsp
    * Solaris : J2SE 5.0: update 11 (patch 118666-11)
    * Solaris : J2SE 5.0: update 11 (patch 118667-11 - 64bit)
    * Solaris : J2SE 5.0_x86: update 11 (patch 118668-11)
    * Solaris : J2SE 5.0_x86: update 11 (patch 118669-11 - 64bit)
Il est recommandé de désinstaller les versions précédentes :
  http://java.com/en/download/help/uninstall_java.xml

Java SDK/JRE : version 1.4.2_14.
La version 1.4.2_14 est corrigée :
  http://java.sun.com/j2se/1.4.2/download.html
Il est recommandé de désinstaller les versions précédentes :
  http://java.com/en/download/help/uninstall_java.xml

Red Hat Network Satellite Server : version 5.0.2.
La version 5.0.2 est corrigée.

RHEL 3AS, 4AS : nouveaux paquetages java, apache, modperl, modssl.
De nouveaux paquetages sont disponibles :
Red Hat Network Satellite Server 4.2 (RHEL v.3 AS):
i386:
jabberd-2.0s10-3.37.rhn.i386.rpm
java-1.4.2-ibm-1.4.2.10-1jpp.2.el3.i386.rpm
java-1.4.2-ibm-devel-1.4.2.10-1jpp.2.el3.i386.rpm
openmotif21-2.1.30-9.RHEL3.8.i386.rpm
openmotif21-debuginfo-2.1.30-9.RHEL3.8.i386.rpm
rhn-apache-1.3.27-36.rhn.rhel3.i386.rpm
rhn-modjk-ap13-1.2.23-2rhn.rhel3.i386.rpm
rhn-modperl-1.29-16.rhel3.i386.rpm
rhn-modssl-2.8.12-8.rhn.10.rhel3.i386.rpm
noarch:
jfreechart-0.9.20-3.rhn.noarch.rpm
perl-Crypt-CBC-2.24-1.el3.noarch.rpm
tomcat5-5.0.30-0jpp_10rh.noarch.rpm
Red Hat Network Satellite Server 4.2 (RHEL v.4 AS):
i386:
jabberd-2.0s10-3.38.rhn.i386.rpm
java-1.4.2-ibm-1.4.2.10-1jpp.2.el4.i386.rpm
java-1.4.2-ibm-devel-1.4.2.10-1jpp.2.el4.i386.rpm
openmotif21-2.1.30-11.RHEL4.6.i386.rpm
openmotif21-debuginfo-2.1.30-11.RHEL4.6.i386.rpm
rhn-apache-1.3.27-36.rhn.rhel4.i386.rpm
rhn-modjk-ap13-1.2.23-2rhn.rhel4.i386.rpm
rhn-modperl-1.29-16.rhel4.i386.rpm
rhn-modssl-2.8.12-8.rhn.10.rhel4.i386.rpm
noarch:
jfreechart-0.9.20-3.rhn.noarch.rpm
perl-Crypt-CBC-2.24-1.el4.noarch.rpm
tomcat5-5.0.30-0jpp_10rh.noarch.rpm

RHEL 4, 5 : nouveaux paquetages java-1.5.0-ibm.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 4: java-1.5.0-ibm-1.5.0.5-1jpp.2.el4
Red Hat Enterprise Linux version 5: java-1.5.0-ibm-1.5.0.5-1jpp.0.1.el5

RHEL Extras 3, 4, 5 : nouveaux paquetages java-1.4.2-ibm.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 3 Extras: java-1.4.2-ibm-1.4.2.9-1jpp.1.el3
Red Hat Enterprise Linux version 4 Extras: java-1.4.2-ibm-1.4.2.9-1jpp.1.el4
RHEL Desktop Supplementary version 5: java-1.4.2-ibm-1.4.2.9-1jpp.1.el5

RHEL Extras 4 : nouveaux paquetages java-1.5.0-sun.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 4 Extras: java-1.5.0-sun-1.5.0.12-1jpp.2.el4
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit un patch de vulnérabilités logicielles. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.