[cllfst] [Java-Tech TN :46] Fwd: Vulnérabilités découvertes dans Sun Jav

---------- Forwarded message ----------
From: ANSI.Cert-TCC.Faille <cert-tcc@xxxxxxx>
Date: Jan 17, 2007 7:28 PM
Subject: Vulnérabilités découvertes dans Sun Java et OpenBSD
To: ziedabid@xxxxxxxxx

Computer Emergency Response Team- Tunisian Coordination Center

Bulletin N° 2007- 012

Objet:

Vulnérabilités découvertes dans :

- Sun Java : Vulnérabilité critique, qui pourrait être exploitée par des attaquants distants afin d'exécuter des commandes arbitraires.

- OpenBSD versions 3.9 et 4.0 : Vulnérabilité moyennement critique, qui pourrait être exploitée par des attaquants distants afin de causer un déni de service

Sun Java

Versions affectées :

Sun JDK version 5.0 Update 9 et inférieures

Sun JRE version 5.0 Update 9 et inférieures

Sun SDK version 1.4.2_12 et inférieures

Sun JRE version 1.4.2_12 et inférieures

Sun SDK version 1.3.1_18 et inférieures

Sun JRE version 1.3.1_18 et inférieures

Criticité:

Non Critique

Moyennement Critique

Critique

Très Critique

Impact: Exécuter des commandes arbitraires,par des attaquants distants
Brève Description:

La faille est due à un débordement de tampon présent au niveau du traitement d'une image GIF spécialement conçue, L'exploitation de cette faille permettrait d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page web malicieuse.

Pour plus de détails :

http://sunsolve.sun.com/search/document.do?assetkey=1-26-102760-1

http://www.zerodayinitiative.com/advisories/ZDI-07-005.html

Solution

Utiliser JDK et JRE 5.0 Update 10, SDK et JRE 1.4.2_13, ou SDK et JRE 1.3.1_19 :
http://www.java.com

Référence CVE: CVE-2007-0211
Référence CERT-TCC: CERT-TCC/Vuln.2007-031

OpenBSD

Versions affectées :

Systèmes OpenBSD versions 3.9 et 4.0

Criticité:

Non Critique

Moyennement Critique

Critique

Très Critique

Impact: Déni de service, par des attaquants distants .
Brève Description:

La vulnérabilité a été découverte dans la gestion des requêtes "echo request" par la version IPv6 du protocole ICMP

("Internet Control Message Protocol ") des systèmes OpenBSD 3.9 et 4.0. L'exploitation de cette faille permettrait

de causer un déni de service sur un système vulnérable.

Pour plus de détails :

http://www.openbsd.org/errata.html

Solution

Appliquer les correctifs d'OpenBSD concernant la vulnérabilité d'ICMP6

Correctif pour OpenBSD 3.9 : f tp://ftp.openbsd.org/pub/OpenBSD/patches/3.9/common/018_icmp6.patch
Correctif pour OpenBSD 4.0 : ftp://ftp.openbsd.org/pub/OpenBSD/patches/4.0/common/008_icmp6.patch

Référence CERT-TCC: CERT-TCC/Vuln.2007-032

Cert-TCC

Computer Emergency Response Team - Tunisian Coordination Center

Agence Nationale de la Sécurité Informatique

Ministère les Technologies de la Communication

Adresse : 94, Av Jugurtha, Mutuelle Ville, 1002 Tunis, Tunisie

Tel : 71 843 200

Numéro Vert : 80 100 267

Fax : 71 846 363

Pour vous désinscrire de cette Mailing Liste envoyer "D" à l'adresse suivante desabonnement@xxxxxxx
Pour toute information ou assistance, envoyez nous à l'adresse suivante: assistance@xxxxxxx
Pour déclarer les incidents de sécurité envoyez nous à l'adresse suivante: incident@xxxxxxx

--------------------------------------------------------------------------------------------------------------------
Le Portail des Technologies Java en Tunisie http://java-tech.cullt.org/

NON A LA MUSIQUE TRANSGENIQUE ! http://www.musique-libre.org/
Take action against software patents http://swpat.ffii.org
Sauvez le droit d'auteur http://eucd.info
APRIL http://www.april.org
-~----------~----~----~----~------~----~------~--~---