Failles Java

par **Malekal_morte** » 16 juil. 2007 21:10

Cette faille peut être exploitée pour infecter votre ordinateur

Mettez à jour JAVA

_______________

source : http://www.frsirt.com/bulletins/11055

Description Technique TXT (Plain Text) PDF (Portable Document Format) XML (Extensible Markup Language)

Une vulnérabilité a été identifiée dans Sun JDK et JRE, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur présente au niveau de l'implémentation Java XML Digital Signature qui ne gère pas correctement un signature XML contenant des feuilles de style XSLT malformées, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires avec les permissions de l'application traitant la signature XML malicieuse.

Versions Vulnérables

Sun Java JDK versions 1.6.x
Sun Java JRE versions 1.6.x / 6.x

Solution

Installer Sun JDK et JRE 6 Upgrade 2 :
http://java.sun.com/javase/downloads/index.jsp

Java SE 6 Upgrade 2 pour Solaris est disponible via les correctifs suivants :

Java SE 6 update 2 :
http://sunsolve.sun.com/search/document ... 25136-02-1

Java SE 6 update 2 (64bit) :
http://sunsolve.sun.com/search/document ... 25137-02-1

Java SE 6_x86 update 2 :
http://sunsolve.sun.com/search/document ... 25138-02-1

Java SE 6_x86 update 2 (64bit) :
http://sunsolve.sun.com/search/document ... 25139-02-1

Références

http://www.frsirt.com/bulletins/11055
http://sunsolve.sun.com/search/document ... 6-102993-1

Crédit

Vulnérabilité découverte par Brad Hill (iSEC Partners).

ChangeLog

2007-07-11 : Version Initiale

Veille Technologique

Le service FrSIRT VNS™ permet aux RSSI de recevoir par email et XML des bulletins d'alertes détaillés et personnalisés selon leurs systèmes, applications et périphériques déployés. Sécurité informatique

afideg · par **afideg** » 17 juil. 2007 11:01

Bonjour à Malekal_morte, et aux amis qui l'entourent,

J'ai lu attentivement ce topic consacré à Java; mais il reste une question qui vaut ce qu'elle vaut.

En effet, je constate ces écritures Java\jre1.6.0_02 et Java\j2re1.4.2

As-tu une idée de ce que signifie cette différence jre et j2re ? ( difficile pour un helper "non-initié" de ne pas croire que j2re soit une nouvelle version ). Pourquoi pas d'ailleurs ( en informatique .... ;) ) ?

Merci d'avance
Al.

par **Malekal_morte** » 17 juil. 2007 15:59

Salut;

La différence est sur le nom.
Entre la version 5 et 6 du jre, ils ont enlevé le numéro de version de java j2re --> jre.
C'est pour simplifier les choses par rapport au nom.

Ca se retrouve donc sur le nom du répertoire.

voir : http://java.sun.com/javase/namechange.html

afideg · par **afideg** » 17 juil. 2007 18:53

Re,
Encore merci pour ta réponse et pour son illustration dans le lien.
Cela répond précisément à mon interrogation.
Bonne soirée
Albert.

par **Malekal_morte** » 20 juil. 2007 16:55

Nouvelle faille sur JAVA.
Mettez à jour !

Date de Publication : 2007-07-19 © FrSIRT.COM
Titre : Sun Java Runtime Environment Network Access Restrictions Bypass Vulnerability
Identifiant : FrSIRT/AVIS-2007-2573
CVE ID : GENERIC-MAP-NOMATCH
Risque : Modéré
Exploitable à distance : Oui
Exploitable en local : Oui

Description Technique TXT (Plain Text) PDF (Portable Document Format) XML (Extensible Markup Language)

Une vulnérabilité a été identifiée dans Sun JDK, JRE et SDK, elle pourrait être exploité par des attaquants afin de contourner les mesures de sécurité. Ce problème résulte d'une erreur présente au niveau du chargeur de classes qui ne valide pas correctement certaines données, ce qui pourrait être exploité par une applet malicieuse afin de contourner les restrictions réseau et établir une connexion avec les services en cours d'exécution au sein d'un système vulnérable.

Versions Vulnérables

Sun JDK version 6 Update 1 et inférieures
Sun JRE version 6 Update 1 et inférieures
Sun JDK version 5.0 Update 11 et inférieures
Sun JRE version 5.0 Update 11 et inférieures
Sun SDK version 1.4.2_14 et inférieures
Sun JRE version 1.4.2_14 et inférieures

Solution

Installer JDK ou JRE 6 Update 2, JDK ou JRE 5.0 Update 12, ou SDK ou JRE 1.4.2_15 :
http://java.sun.com/javase/downloads/index.jsp

Références

http://www.frsirt.com/bulletins/11136
http://sunsolve.sun.com/search/document ... 6-102995-1

source : http://www.frsirt.com/bulletins/11136

afideg · par **afideg** » 22 juil. 2007 14:17

Avec retard
Bonjour et merci Malekal_morte.
Oui, j'avais vu cet avertissement sur ton site.
J'en tiens compte là où j'interviens sur CCM.

Mais à nouveau, j'aimerais une explication sur ce qui justifie autant de versions :
JRE 6 Update 2
JRE 5.0 Update 12
JRE 1.4.2_15
Ce qui s'ajoute en corollaire à mon interrogation précédente .

Quelles sont les différences entre-elles ?
Une est-elle plus performante que l'autre ?
Si l'on utilise ce lien < http://www.java.com/fr/download/manual.jsp > en remplacement de JRE 1.4.2_ * ( par exemple ) , on reçoit automatiquement JRE 6 Update 2.
Il doit bien y avoir une raison valable ?

Merci d'avance
Bon dimanche
Albert

par **Malekal_morte** » 22 juil. 2007 22:28

Ce sont différentes branches de JAVA.
Certaines fonctionnalités sont dispos dans la branche 1.6 mais pas dans la 1.5 et 1.4 etc..

Certaines applications ne supportent pas encore la branche 1.6 d'où le fait qu'il peut avoir besoin d'avoir encore la 1.4 sur ton système.
Néanmoins.. pour monsieur tout le monde tu peux laisser que la branche 1.6 pour les applets sur le WEB, t'es sûr d'avoir la dernière version.

afideg · par **afideg** » 22 juil. 2007 22:35

Merci encore
Bonne soirée à toi.
Albert

afideg · par **afideg** » 05 oct. 2007 22:14

Bonsoir malekal_morte

Nouvelles failles Java

Je lis bien ici http://www.zataz.com/news/15229/sun-jav ... lites.html

Contournement de règles de sécurité, manipulation de données, révélations d'informations sensibles et compromission de système vulnérable par le biais de Sun Java JRE et JDK.
De multiples vulnérabilités, classifiées comme "hautement critiques", ont été rapportées dans Sun Java JRE (Java Runtime Environment) et dans Sun Java JDK (Java Developer Kit). Ces vulnérabilités peuvent être exploitées par un internaute malveillant pour contourner des restrictions, manipuler des données, révéler des informations sensibles, ou compromettre un système vulnérable.
- De multiples erreurs, non spécifiées, dans JRE peuvent être exploitées pour , par exemple, qu'un applet malveillant ou l'API Java établissent une connexion réseau sur certains services de machines autres que la machine source de cette connexion.
- De multiples erreurs, non spécifiées, dans Java Web Start peuvent être exploitées par un applet malveillant to lire, ou écrire, des fichiers locaux, ou déterminer la localisation du cache Java Web Start.
- Une erreur, non spécifiée, dans JRE peut être exploitée pour déplacer ou copier des fichiers arbitraires sur le système, par exemple, en incitant un internaute cible à déplacer un fichier provenant de l'applet vers le bureau windows.
Les vulnérabilités ont été rapportées pour les versions suivantes :
* JDK et JRE 6 Update 2, et pour toutes les versions antérieures.
* JDK et JRE 5.0 Update 12, et pour toutes les versions antérieures.
* SDK et JRE 1.4.2_15, et pour toutes les versions antérieures.
* SDK et JRE 1.3.1_20, et pour toutes les versions antérieures.
Le fournisseur propose des mises à jour pour combler ces vulnérabilités.

Bonne réception
Albert

Sacles · par **Sacles** » 06 oct. 2007 08:31

Bonjour,

Après avoir installé l'update 3, l'update 2 est toujours en place. Vous pouvez la désinstaller.

"les mises à jour, relativement nombreuses finissent par occuper des centaines de Mo de votre disque dur. Vous pouvez les désinstaller, dans la mesure où la derniière mise à jour contient les modifications des précédentes. En revanche, la version de base est à conserver. Cela fonctionnera parfaitement avec la version de base et la dernière mise à jour. Toujours dans la console de paramétrage, (onglet "Java", puis dans "paramètres de l'application Java Runtime", bouton "afficher"), vous accédez à cet écran."
Source: http://www.libellules.ch/dotclear/index ... es-astuces

Salut.

afideg · par **afideg** » 06 oct. 2007 11:06

Bonjour Malekal_morte et Saclès,

Merci pour ce complément à ce chapitre "Faille Java".

A)- J'en connaissais une large partie faisant d'ailleurs l'objet de mon "canned speech" que voici (et puisé dans le texte du site Java lors des mises à jour):

Je vois ceci [C:\Program Files\Java\jre1.5.0_03\bin\jucheck.exe]
Ce qui veut dire que ta console Java n'est pas à jour !
Une vulnérabilité a été identifiée dans Sun JDK et JRE, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable.
Vas chez Java Sun < http://www.java.com/fr/download/manual.jsp > et télécharge la dernière Version 6 Update3.
Après installation et redémarrage, vas dans le "panneau de configuration"/"Ajout-Suppr. de programmes" afin de désinstaller les anciennes versions.
Reste à supprimer dans "C:\" > "Program Files" > "Dossier Java" le vieux dossier qui n'est pas ôter lors de la désinstallation.
Ceci pour récupérer de l'espace disque et éventuellement pour virer les failles présentes dans ces anciennes versions.
Retourne alors chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

Par contre, et de ton texte, je n'en connaissais pas ceci :

En revanche, la version de base est à conserver.
Cela fonctionnera parfaitement avec la version de base et la dernière mise à jour.

Accepterais-tu de m'expliquer ce qu'est la version de base et me dire "comment la récupérer (à supposer que je l'aie effacé).
Voici le contenu de mon dossier Java : http://img169.imageshack.us/img169/9950 ... 069mf3.png

Et pourquoi, dès lors que le lance chaque fois la fonction "Vérifier l'installation", ne reçois-je aucune alerte pour éventuellement "absence de la version de base" ?

Je suis subitement inquiet, là.
Je crois que cette ligne est superflue dans mon canned speech : « Reste à supprimer dans "C:\" > "Program Files" > "Dossier Java" le vieux dossier qui n'est pas ôter lors de la désinstallation. »

B)- Dans ton texte du message , tu as ajouté ceci:

Toujours dans la console de paramétrage, (onglet "Java", puis dans "paramètres de l'application Java Runtime", bouton "afficher"), vous accédez à cet écran."
Source: http://www.libellules.ch/dotclear/index ... es-astuces

Et dans ce lien, je lis ceci:

Sans révolutionner l'utilisation de Java, il est possible de grapiller quelques millisecondes de performances et quelques Mo de disque dur. Voici comment procéder. Une fois JRE installé, dans votre console de paramétrage, accessible depuis la panneau de configuration, vous pouvez désactiver la console et l'icône de la systray depuis l'onglet "avancé".

Quelle différence entre "Masquer la console" et "Ne pas lancer la console" , comme on le voit ici : < http://www.libellules.ch/dotclear/image ... /java1.jpg > ?

Et aussi, que devient cette rubrique "Placer l'icône Java sur la barre d'état du système" : http://www.java.com/fr/download/help/5000021000.xml ?
Quelle différence entre "Masquer la console" et décocher la case "Placer l'icône Java sur la barre d'état du système"

Merci à toi et bon W-E mon voisin lîdjeûs

Salut Malekal_morte.
Al