Des vulnérabilités de sécurité dans l’implémentation LDAP du Java Runtime Environment (JRE) peuvent permettre un déni de service (DoS) et l’exécution de code malveillant

Catégorie
Sécurité
Phase de publication
Résolu

Id de bogue
6717680, 6737315
Date de la version résolue
24-Mar-2009
Des vulnérabilités de sécurité dans l’implémentation LDAP du Java Runtime Environment (JRE) peuvent permettre un déni de service (DoS) et l’exécution de code malveillant :
1. Impact
CR 6717680 :
Une vulnérabilité de sécurité dans l’environnement d’exécution Java (JRE) dans l’initialisation des connexions LDAP peut être exploitée par un client distant pour provoquer un déni de service (DoS) sur le service LDAP.
CR 6737315 :
Une vulnérabilité de sécurité dans l’implémentation du client LDAP de Java Runtime Environment peut permettre à des données malveillantes provenant d’un serveur LDAP de causer un code malveillant d’être chargé et exécuté de façon inattendue sur un client LDAP.
2. Facteurs contributifs
Ces problèmes peuvent se produire dans les versions suivantes de Java SE et Java SE for Business pour Windows,Solaris et Linux:

  • JDK et JRE 5.0 Update 17 et antérieur
  • JDK et JRE 6 Update 12 et antérieur

et dans la version suivante de Java SE for Business pour Windows, Solaris et Linux:

  • SDK et JRE 1.4.2_19 et antérieures

et dans la version suivante de Java SE pour Windows et Solaris:

  • SDK et JRE 1.3.1_24 et antérieures

Pour déterminer la version de Java installée sur un système, la commande suivante peut être utilisée:

 % java -version
java version "1.5.0_17

Pour déterminer la version par défaut du JRE qu’utilise Internet Explorer, consultez l’URL suivante:

  • http://java.com/en/download/installed.jsp?detect=jre&try=1

Pour déterminer la version par défaut du JRE qu’utilisent les navigateurs Mozilla ou Firefox, consultez l’URL « about:plugins ». Le navigateur affichera une page appelée « Plug-ins installés » qui énumère la version du JavaPlug-in :

 Java(TM) Platform SE 6 U11

Dans cet exemple, la version du JRE que le navigateur utilise est 6Update 11.
3.Symptômes
Si le problème décrit dans la CR 6717680 se produit, le service LDAP peut ne pas répondre.
Il n’y a pas de symptômes fiables qui indiqueraient que le problème décrit dans la CR 6737315 a été exploité.
4. Solution
Il n’y a pas de solution de contournement pour ces problèmes. Veuillez consulter la sectionRésolution ci-dessous.
5. Résolution
Ces problèmes sont traités dans les versions suivantes:

  • JDK et JRE 6 Update 13 ou ultérieur
  • JDK et JRE 5.0 Update 18 ou ultérieur

et dans la version suivante de Java SE for Business pour Windows, Solaris,et Linux:

  • SDK et JRE 1.4.2_20 ou ultérieur

et dans la version suivante de Java SE pour Windows et Solaris:

  • SDK et JRE 1.3.1_25 ou plus récent

Les versions de Java SE sont disponibles à :
JDK et JRE 6 Update 13:

  • http://java.sun.com/javase/downloads/index.jsp

JRE 6 Update 13:

  • http://java.com/
  • À travers l’outil Java Updatetool pour les utilisateurs de Microsoft Windows

JDK 6 Update 13 pour Solaris est disponible dans les correctifs suivants :

  • Java SE 6 : mise à jour 13 (tel que livré dans le correctif 125136-14)
  • Java SE 6 : mise à jour 13 (tel que livré dans le correctif 125137-14 (64bit))
  • Java SE 6_x86 : mise à jour 13 (tel que livré dans le patch 125138-14)
  • Java SE 6_x86 : mise à jour 13 (tel que livré dans le patch 125139-14 (64bit))

JDK et JRE 5.0 Update 18:

  • http://java.sun.com/javase/downloads/index_jdk5.jsp

JDK 5.0 Update 18 pour Solaris est disponible dans les correctifs suivants:

  • J2SE 5.0 : update 18 (tel que livré dans le correctif 118666-19)
  • J2SE 5.0 : update 18 (tel que livré dans le correctif 118667-19 (64bit))
  • J2SE 5.0_x86 : mise à jour 18 (telle que livrée dans le correctif 118668-19)
  • J2SE 5.0_x86 : mise à jour 18 (telle que livrée dans le correctif 118669-19 (64bit))

Les versions de Java SE pour les entreprises sont disponibles à l’adresse:

  • http://www.sun.com/software/javaseforbusiness/getit_download.jsp

Note 1 : Les versions de Java SESDK et JRE 1.4.2 ont terminé le processus de fin de vie de service (EOSL)de Sun. Sun recommande aux utilisateurs de passer à la dernière version de Java SE. Les clients souhaitant continuer à recevoir des correctifs critiques sur SDK et JRE 1.4.2 sont encouragés à migrer vers Java SE for Business.
Note 2 : SDK et JRE 1.3.1ont terminé le processus Sun End of Service Life (EOSL) et ne sont pris en charge que pour les clients disposant de contrats d’assistance Solaris 8 et Vintage Support Offerings (voir http://java.sun.com/j2se/1.3/download.html).Sun recommande fortement aux utilisateurs de procéder à une mise à niveau vers la dernière version de Java SE.
Note 3 : Lors de l’installation d’une nouvelle version du produit à partir d’une source autre qu’un correctif Solaris, il estrecommandé de supprimer les anciennes versions affectées de votre système.Pour supprimer les anciennes versions affectées sur la plateforme Windows, veuillez consulter :

  • http://www.java.com/en/download/help/5000010800.xml

Pour plus d’informations sur les alertes de sécurité Sun, consultez le document 1009886.1.
Cette notification d’alerte Sun vous est fournie sur une base « AS IS ». Cette notification d’alerte Sun peut contenir des informations fournies par des tiers. Les problèmes décrits dans cette notification d’alerte Sun peuvent ne pas avoir d’impact sur votre ou vos systèmes. Sun ne fait aucune déclaration et ne donne aucune garantie quant aux informations contenues dans le présent document. TOUTE GARANTIE, EXPRESSE OU IMPLICITE, Y COMPRIS, MAIS SANS S’Y LIMITER, LES GARANTIES DE QUALITÉ MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER OU D’ABSENCE DE CONTREFAÇON, EST REJETÉE PAR LA PRÉSENTE. EN ACCÉDANT À CE DOCUMENT, VOUS RECONNAISSEZ QUE SUN NE SERA EN AUCUN CAS RESPONSABLE DE TOUT DOMMAGE DIRECT, INDIRECT, ACCESSOIRE, PUNITIF OU CONSÉCUTIF RÉSULTANT DE L’UTILISATION OU DE LA NON-UTILISATION DES INFORMATIONS CONTENUES DANS CE DOCUMENT. Cette notification d’alerte Sun contient des informations exclusives et confidentielles de Sun. Elle vous est fournie conformément aux dispositions de votre contrat d’achat de services auprès de Sun ou, si vous ne disposez pas d’un tel contrat, aux conditions d’utilisation de Sun.com. Cette notification d’alerte Sun ne peut être utilisée qu’aux fins prévues par ces accords.