CERTA-2013-ALE-001
Vulnerability from certfr_alerte

Deux vulnérabilités ont été découvertes dans Oracle Java. La première vulnérabilité concerne la méthode "findClass" de la classe MBeanInstantiator. Cette vulnérabilité est présente dans Oracle Java version 7.
La deuxième vulnérabilité se trouve dans la nouvelle API Reflection de Oracle Java. Cette nouvelle API est disponible à partir de la branche 1.7 du produit. Cette vulnérabilité est donc présente dans les versions antérieures à Oracle Java version 7 mise à jour 11.
L'association des deux vulnérabilités permet à un attaquant d'exécuter du code arbitraire à distance au moyen d'une page Web spécialement conçue sur les postes possédant une version de Oracle Java antérieure à 1.7.11.
Ces vulnérabilités sont activement exploitées et largement diffusées.

Solution

Installer la dernière version stable de Oracle Java :

  • Oracle Java version 1.7.11
None
Impacted products
Vendor Product Description
Oracle N/A Oracle Java version 7 (première vulnérabilité)
Oracle N/A Versions antérieures à Oracle Java version 7 mise à jour 11 (deuxième vulnérabilité)
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Oracle Java version 7 (premi\u00e8re vuln\u00e9rabilit\u00e9)",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Oracle",
          "scada": false
        }
      }
    },
    {
      "description": "Versions ant\u00e9rieures \u00e0 Oracle Java version 7 mise \u00e0 jour 11 (deuxi\u00e8me vuln\u00e9rabilit\u00e9)",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Oracle",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2013-01-15",
  "content": "## Solution\n\nInstaller la derni\u00e8re version stable de Oracle Java :\n\n-   Oracle Java version 1.7.11\n",
  "cves": [
    {
      "name": "CVE-2013-0422",
      "url": "https://www.cve.org/CVERecord?id=CVE-2013-0422"
    },
    {
      "name": "CVE-2012-3174",
      "url": "https://www.cve.org/CVERecord?id=CVE-2012-3174"
    }
  ],
  "initial_release_date": "2013-01-10T00:00:00",
  "last_revision_date": "2013-01-15T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Oracle Java version 1.7 du 13 janvier    2013 :",
      "url": "http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html"
    }
  ],
  "reference": "CERTA-2013-ALE-001",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2013-01-10T00:00:00.000000"
    },
    {
      "description": "ajout du correctif \u00e9diteur",
      "revision_date": "2013-01-14T00:00:00.000000"
    },
    {
      "description": "mise \u00e0 jour syst\u00e8mes affect\u00e9s",
      "revision_date": "2013-01-15T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Deux vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans \u003cspan class=\"textit\"\u003eOracle\nJava\u003c/span\u003e. La premi\u00e8re vuln\u00e9rabilit\u00e9 concerne la m\u00e9thode \"findClass\"\nde la classe MBeanInstantiator. Cette vuln\u00e9rabilit\u00e9 est pr\u00e9sente dans\n\u003cspan class=\"textit\"\u003eOracle Java\u003c/span\u003e version 7.  \nLa deuxi\u00e8me vuln\u00e9rabilit\u00e9 se trouve dans la nouvelle API \u003cspan\nclass=\"textit\"\u003eReflection\u003c/span\u003e de \u003cspan class=\"textit\"\u003eOracle\nJava\u003c/span\u003e. Cette nouvelle API est disponible \u00e0 partir de la branche\n1.7 du produit. Cette vuln\u00e9rabilit\u00e9 est donc pr\u00e9sente dans les versions\nant\u00e9rieures \u00e0 \u003cspan class=\"textit\"\u003eOracle Java\u003c/span\u003e version 7 mise \u00e0\njour 11.  \nL\u0027association des deux vuln\u00e9rabilit\u00e9s permet \u00e0 un attaquant d\u0027ex\u00e9cuter\ndu code arbitraire \u00e0 distance au moyen d\u0027une page Web sp\u00e9cialement\ncon\u00e7ue sur les postes poss\u00e9dant une version de \u003cspan\nclass=\"textit\"\u003eOracle Java\u003c/span\u003e ant\u00e9rieure \u00e0 1.7.11.  \nCes vuln\u00e9rabilit\u00e9s sont activement exploit\u00e9es et largement diffus\u00e9es.\n",
  "title": "Vuln\u00e9rabilit\u00e9s dans Oracle Java",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Oracle Java version 1.7 du 13 janvier 2013",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.