Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2420-1 openjdk-6

Bulletin d'alerte Debian

DSA-2420-1 openjdk-6 -- Plusieurs vulnérabilités

Date du rapport :

28 février 2012

Paquets concernés :

openjdk-6

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-3377, CVE-2011-3563, CVE-2011-5035, CVE-2012-0497, CVE-2012-0501, CVE-2012-0502, CVE-2012-0503, CVE-2012-0505, CVE-2012-0506, CVE-2012-0507.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans OpenJDK, une implémentation de la plateforme Java d'Oracle.

• CVE-2011-3377

  Le greffon de navigateur IcedTea inclus dans le paquet openjdk-6 n'applique pas correctement la politique de même origine sur les contenus web servis sous un nom de domaine ayant un suffixe commun au nom de domaine demandé.

• CVE-2011-3563

  Le composant Java Sound ne vérifiait pas correctement les frontières de tableau. Une entrée malveillante ou une application ou applette Java pouvaient utiliser ce défaut pour provoquer un plantage de la machine virtuelle Java ou révéler une partie de sa mémoire.

• CVE-2011-5035

  Le serveur web OpenJDK embarqué ne préservait pas d'un nombre excessif de paramètres de requête, conduisant à une vulnérabilité de déni de service impliquant des collisions de hachages.

• CVE-2012-0497

  Java2D ne vérifiait pas correctement les objets de rendu des graphiques avant de les passer au moteur de rendu. Cela pouvait conduire à un plantage de JVM ou un contournement du bac à sable (sandbox) Java.

• CVE-2012-0501

  L'analyseur de répertoire central ZIP utilisé par java.util.zip.ZipFile entrait dans une récursion infinie en code natif lors du traitement d'un fichier ZIP contrefait, conduisant à un déni de service.

• CVE-2012-0502

  Un défaut découvert dans la classe KeyboardFocusManager AWT pouvait permettre aux applettes Java non fiables d'obtenir le focus du clavier et éventuellement voler des renseignements sensibles.

• CVE-2012-0503

  Une invocation du gestionnaire de sécurité manquait à la méthode java.util.TimeZone.setDefault(), permettant à une application Java non fiable ou une applette de configurer un nouveau fuseau horaire par défaut.

• CVE-2012-0505

  Le code de sérialisation divulguait des références aux exceptions de sérialisation, divulguant éventuellement des objets critiques au code des applettes et applications Java.

• CVE-2012-0506

  L'implémentation CORBA de Java ne protégeait pas correctement les identifiants de dépôt (qui pouvaient être obtenus avec la méthode _ids()) sur certains objets Corba. Cela aurait pu être utilisé pour modifier des données qui auraient dues être immuables.

• CVE-2012-0507

  L'implémentation de classe AtomicReferenceArray ne vérifiait pas correctement si le tableau était d'un type Object[] attendu. Une application ou applette Java malveillante pouvaient utiliser ce défaut pour provoquer un plantage de machine virtuelle Java ou contourner des restrictions du bac à sable (sandbox) Java.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 6b18-1.8.13-0+squeeze1.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 6b24-1.11.1-1.

Nous vous recommandons de mettre à jour vos paquets openjdk-6.