Bulletin d'alerte Debian

DLA-1914-1 icedtea-web -- Mise à jour de sécurité pour LTS

Date du rapport :
9 septembre 2019
Paquets concernés :
icedtea-web
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 934319.
Dans le dictionnaire CVE du Mitre : CVE-2019-10181, CVE-2019-10182, CVE-2019-10185.
Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été trouvées dans icedtea-web, une implémentation de JNLP (Java Network Launching Protocol).

  • CVE-2019-10181

    Dans icedtea-web, du code exécutable pourrait être injecté dans un fichier JAR sans compromettre la vérification de signature. Un attaquant pourrait utiliser ce défaut pour injecter du code dans un JAR de confiance. Le code serait exécuté à l’intérieur du bac à sable.

  • CVE-2019-10182

    Icedtea-web ne vérifiait pas correctement les chemins des éléments <jar/> dans les fichiers JNLP. Un attaquant pourrait forcer une victime pour exécuter une application contrefaite pour l'occasion et utiliser ce défaut pour téléverser des fichiers arbitraires dans des emplacements arbitraires dans l’environnement de l’utilisateur.

  • CVE-2019-10185

    Icedtea-web était vulnérable à une attaque zip-slip pendant l’auto-extraction de fichier JAR. Un attaquant pourrait utiliser ce défaut pour écrire des fichiers dans des emplacements arbitraires. Cela pourrait aussi être utilisé pour remplacer l’application principale en cours d’exécution et, éventuellement, s’échapper du bac à sable.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.5.3-1+deb8u1.

Nous vous recommandons de mettre à jour vos paquets icedtea-web.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.