Bulletin d'alerte Debian

DSA-2311-1 openjdk-6 -- Plusieurs vulnérabilités

Date du rapport :
27 septembre 2011
Paquets concernés :
openjdk-6
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 629852.
Dans le dictionnaire CVE du Mitre : CVE-2011-0862, CVE-2011-0864, CVE-2011-0865, CVE-2011-0867, CVE-2011-0868, CVE-2011-0869, CVE-2011-0871.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans OpenJDK, une implémentation de la plate-forme Java SE. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2011-0862

    Des erreurs de dépassement d'entier dans l'analyseur de JPEG et de police permettent à du code non fiable (applettes comprises) d'augmenter ses droits.

  • CVE-2011-0864

    Le compilateur à la volée Hotspot d'OpenJDK faisait des erreurs de manipulation de certaines instructions de pseudocode, permettant à du code non fiable (applettes comprises) de planter la machine virtuelle.

  • CVE-2011-0865

    Une situation de compétition dans la désérialisation d'objet signé pourrait permettre à du code non fiable de modifier du contenu signé, en laissant apparemment sa signature intacte.

  • CVE-2011-0867

    Du code non fiable (applettes comprises) pourrait accéder à des renseignements sur les interfaces réseau qui n'ont pas vocation à être publics (remarquez que l'adresse MAC de l'interface est toujours accessible au code non fiable).

  • CVE-2011-0868

    Une conversion de flottant en entier long pourrait déborder, permettant à du code non fiable (applettes comprises) de planter la machine virtuelle.

  • CVE-2011-0869

    Du code non fiable (applettes comprises) pourrait intercepter des requêtes HTTP en reconfigurant des réglages de serveur mandataire (proxy) dans une connexion SOAP.

  • CVE-2011-0871

    Du code non fiable (applettes comprises) pourrait augmenter ses droits à l'aide du code Swing MediaTracker.

De plus, cette mise à jour supprime la prise en charge des variantes Hotspot Zero/Shark et Cacao des architectures i386 et amd64 à cause de problèmes de stabilité. Ces variantes Hotspot sont incluses dans les paquets openjdk-6-jre-zero et icedtea-6-jre-cacao, et ces paquets doivent être supprimés lors de cette mise à jour.

Pour la distribution distribution (Lenny), ces problèmes seront corrigés via une annonce distincte pour des raisons techniques.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 6b18-1.8.9-0.1~squeeze1.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 6b18-1.8.9-0.1.

Nous vous recommandons de mettre à jour vos paquets openjdk-6.