CERTA-2003-AVI-015

Vulnerability from certfr_avis - Published: - Updated:

Il est possible de contourner le mécanisme de protection des méthodes et attributs d'un objet Java.

Description

Une vulnérabilité dans l'implémentation de la machine virtuelle Java de Sun (ainsi que les implémentations dérivées) permet à un utilisateur mal intentionné d'avoir accès aux méthodes et attributs protégés d'un objet Java.

Solution

Effectuer les mises à jour de la machine virtuelle Java comme indiqué dans le bulletin de sécurité des différents éditeurs (cf. section Documentation).

Machine virtuelle Java fournie avec Java SDK (Software Development Kit) et Java JRE (Java Runtime Environment) pour les plates-formes Solaris, Linux et Windows :

  • Toutes les versions de la série 1.4.0 jusqu'à la version 1.4.0_02 incluse ;
  • toutes les versions de la série 1.3.1 jusqu'à la version 1.3.1_05 incluse ;
  • toutes les versions de la série 1.3.0 jusqu'à la version 1.3.1_05 incluse ;
  • toutes les versions de la série 1.2.2 jusqu'à la version 1.3.1_05 incluse ;
  • toutes les versions 1.1.x.

Pour les autres plates-formes, se référer à la section documentation.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eMachine virtuelle Java fournie avec  Java SDK (Software Development Kit) et Java JRE (Java Runtime  Environment) pour les plates-formes Solaris, Linux et Windows :  \u003cUL\u003e    \u003cLI\u003eToutes les versions de la s\u00e9rie 1.4.0 jusqu\u0027\u00e0 la version    1.4.0_02 incluse ;\u003c/LI\u003e    \u003cLI\u003etoutes les versions de la s\u00e9rie 1.3.1 jusqu\u0027\u00e0 la version    1.3.1_05 incluse ;\u003c/LI\u003e    \u003cLI\u003etoutes les versions de la s\u00e9rie 1.3.0 jusqu\u0027\u00e0 la version    1.3.1_05 incluse ;\u003c/LI\u003e    \u003cLI\u003etoutes les versions de la s\u00e9rie 1.2.2 jusqu\u0027\u00e0 la version    1.3.1_05 incluse ;\u003c/LI\u003e    \u003cLI\u003etoutes les versions 1.1.x.\u003c/LI\u003e  \u003c/UL\u003e  \u003cP\u003ePour les autres plates-formes, se r\u00e9f\u00e9rer \u00e0 la section  documentation.\u003c/P\u003e\u003c/p\u003e",
  "content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 dans l\u0027impl\u00e9mentation de la machine virtuelle Java de\nSun (ainsi que les impl\u00e9mentations d\u00e9riv\u00e9es) permet \u00e0 un utilisateur mal\nintentionn\u00e9 d\u0027avoir acc\u00e8s aux m\u00e9thodes et attributs prot\u00e9g\u00e9s d\u0027un objet\nJava.\n\n## Solution\n\nEffectuer les mises \u00e0 jour de la machine virtuelle Java comme indiqu\u00e9\ndans le bulletin de s\u00e9curit\u00e9 des diff\u00e9rents \u00e9diteurs (cf. section\nDocumentation).\n",
  "cves": [],
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 50083 de Sun :",
      "url": "http://sunsolve.sun.com/pub-cgi/secBulletin.pl"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 HPSBUX0301-239 de Hewlett-Packard :",
      "url": "http://itrc.hp.com"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 20030303-01-I de SGI :",
      "url": "ftp://patches.sgi.com/support/free/security/advisories/20030303-01-I"
    }
  ],
  "reference": "CERTA-2003-AVI-015",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2003-01-28T00:00:00.000000"
    },
    {
      "description": "Ajout bulletin de s\u00e9curit\u00e9 HPSBUX0301-239 de Hewlett-Packard.",
      "revision_date": "2003-02-07T00:00:00.000000"
    },
    {
      "description": "Ajout bulletin de s\u00e9curit\u00e9 20030303-01-I de SGI.",
      "revision_date": "2003-04-01T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Fuite de donn\u00e9es"
    },
    {
      "description": "Contournement des r\u00e8gles de s\u00e9curit\u00e9"
    }
  ],
  "summary": "Il est possible de contourner le m\u00e9canisme de protection des m\u00e9thodes et\nattributs d\u0027un objet Java.\n",
  "title": "Vuln\u00e9rabilit\u00e9 de la machine virtuelle Java",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Sun 50083",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.