Bulletin d'alerte Debian

DSA-2161-1 openjdk-6 -- Déni de service

Date du rapport :
13 février 2011
Paquets concernés :
openjdk-6
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 612660.
Dans le dictionnaire CVE du Mitre : CVE-2010-4476.
Plus de précisions :

On a découvert que l'analyseur de nombres à virgule flottante d'OpenJDK, une implémentation de la plate-forme Java, peut boucler indéfiniment en traitant certaines chaînes en entrée. De telles chaînes en entrée peuvent représenter des nombres valables et être contenues dans des données fournies par un attaquant sur le réseau, permettant une attaque par déni de service.

Pour l'ancienne distribution stable (Lenny), ce problème a été corrigé dans la version 6b18-1.8.3-2~lenny1. Pour des raisons techniques, cette mise à jour sera publiée séparément.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 6b18-1.8.3-2+squeeze1.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets openjdk-6.