Mises à jour de sécurité pour Java SE

Numéro : AV09-042
Date : 5 novembre 2009  

Objet

L'objet du présent avis est d'attirer votre attention sur de multiples vulnérabilités dans Java Standard Edition (SE). 

Évaluation

L'exploitation réussie de ces vulnérabilités pourrait permettre le contournement de restrictions de sécurité, l'élévation de privilèges ou l'exécution de code à distance, de même que causer des conditions de déni de service. D'autres types d'attaque sont également possibles.

Les mises à jour suivantes ont été diffusées pour Java SE  :

• JDK et JRE 6 Update 17
• JDK et JRE 5.0 Update 22
• SDK et JRE 1.4.2_24
• SDK et JRE 1.3.1_27

Ces mises à jour permettent de régler les problèmes suivants :

• Le mécanisme de mise à jour Java de Java Runtime Environment (JRE) exécuté dans les versions non anglophones du système d'exploitation Windows ne met pas à jour l'environnement JRE lorsqu'une nouvelle version est disponible (ID de bogue SUN : 6869694)
• Il pourrait être possible de tirer profit d'une vulnérabilité d'exécution de commande dans la trousse de déploiement de JRE pour exécuter du code arbitraire. Cela pourrait se produire si utilisateur de Java Runtime Environment consultait une page Web spécialement conçue pour exploiter cette vulnérabilité (ID de bogue SUN : 6869752).      
• Il pourrait être possible de tirer profit d'une vulnérabilité de sécurité dans l'installateur de Java Web Start pour permettre à une application Java Web Start non fiable d'exécuter une application fiable et d'exécuter du code arbitraire. Cela pourrait se produire si un utilisateur ouvrait une page Web spécialement conçue pour exploiter cette vulnérabilité (ID de bogue SUN : 6872824).
• De multiples vulnérabilités liées à la saturation de mémoire tampon et de nombre entier dans JRE lors du traitement de fichiers audio et image pourrait permettre à un applet ou à une application Java Web Start non fiable d'élever des privilèges. Par exemple, un applet non fiable pourrait s'attribuer des permissions de lecture et d'écriture de fichiers locaux ou exécuter des applications locales auxquelles a accès l'utilisateur se servant de l'applet non fiable (ID de bogue SUN : 6854303, 6862970, 6872357, 6872358, 6862969, 6874643 et 6862968).
• Une vulnérabilité de sécurité dans l'environnement JRE relativement à la vérification des résumés HMAC pourrait permettre le contournement du processus d'authentification. Cela pourrait permettre à un utilisateur de falsifier une signature numérique qui serait acceptée comme étant valide. Les applications qui valident des signatures numériques basées sur HMAC sont vulnérables à ce type d'attaque (ID de bogue SUN : 6863503).
• Deux vulnérabilités dans l'environnement JRE relativement au décodage de données codées selon les DER (Distinguished Encoding Rules) et à l'analyse des en-têtes HTTP pourraient, chacune de leur côté, permettre à un client à distance de causer la perte de mémoire de l'environnement JRE sur le serveur, ce qui entraînerait une condition de déni de service (ID de bogue SUN : 6864911).
• Pour une liste complète des produits vulnérables, veuillez consulter les avis originaux énumérés ci-dessous.

Mesure suggérée

Le CCRIC recommande aux administrateurs de tester et de déployer les mises à jour ci-dessous à la première occasion, conformément à leurs pratiques de gestion des versions, comme il convient.

Références :

• http://blogs.sun.com/security/entry/advance_notification_of_security_updates6
• http://sunsolve.sun.com/search/document.do?assetkey=1-66-269868-1
• http://sunsolve.sun.com/search/document.do?assetkey=1-66-269869-1
• http://sunsolve.sun.com/search/document.do?assetkey=1-66-269870-1
• http://sunsolve.sun.com/search/document.do?assetkey=1-66-270474-1
• http://sunsolve.sun.com/search/document.do?assetkey=1-66-270475-1
• http://sunsolve.sun.com/search/document.do?assetkey=1-66-270476-1

Note aux lecteurs

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue le point de convergence au Canada pour les avertissements et l'analyse concernant les menaces et les vulnérabilités cybernétiques, ainsi que pour la coordination de la réponse aux incidents. Le CCRIC est chargé d'assurer la résilience de l'infrastructure essentielle nationale en surveillant les menaces et en coordonnant la réponse du gouvernement fédéral aux incidents de cybersécurité d'intérêt national. Le CCRIC, qui travaille conjointement avec le Centre des opérations du gouvernement (COG) de Sécurité publique Canada, constitue un élément clé de l'approche « tous risques » du gouvernement en regard de la gestion des urgences et de la sécurité nationale.

Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:

Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca