certfr_avis - certa-2003-avi-015

CERTA-2003-AVI-015

Vulnerability from certfr_avis

Il est possible de contourner le mécanisme de protection des méthodes et attributs d'un objet Java.

Description

Une vulnérabilité dans l'implémentation de la machine virtuelle Java de Sun (ainsi que les implémentations dérivées) permet à un utilisateur mal intentionné d'avoir accès aux méthodes et attributs protégés d'un objet Java.

Solution

Effectuer les mises à jour de la machine virtuelle Java comme indiqué dans le bulletin de sécurité des différents éditeurs (cf. section Documentation).

Machine virtuelle Java fournie avec Java SDK (Software Development Kit) et Java JRE (Java Runtime Environment) pour les plates-formes Solaris, Linux et Windows :

Toutes les versions de la série 1.4.0 jusqu'à la version 1.4.0_02 incluse ;
toutes les versions de la série 1.3.1 jusqu'à la version 1.3.1_05 incluse ;
toutes les versions de la série 1.3.0 jusqu'à la version 1.3.1_05 incluse ;
toutes les versions de la série 1.2.2 jusqu'à la version 1.3.1_05 incluse ;
toutes les versions 1.1.x.

Pour les autres plates-formes, se référer à la section documentation.

Impacted products

	Vendor	Product	Description

References

Title

Publication Time

Tags

Bulletin de sécurité Sun 50083	None	vendor-advisory
Bulletin de sécurité 50083 de Sun :	-	other
Bulletin de sécurité HPSBUX0301-239 de Hewlett-Packard :	-	other
Bulletin de sécurité 20030303-01-I de SGI :	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eMachine virtuelle Java fournie avec  Java SDK (Software Development Kit) et Java JRE (Java Runtime  Environment) pour les plates-formes Solaris, Linux et Windows :  \u003cUL\u003e    \u003cLI\u003eToutes les versions de la s\u00e9rie 1.4.0 jusqu\u0027\u00e0 la version    1.4.0_02 incluse ;\u003c/LI\u003e    \u003cLI\u003etoutes les versions de la s\u00e9rie 1.3.1 jusqu\u0027\u00e0 la version    1.3.1_05 incluse ;\u003c/LI\u003e    \u003cLI\u003etoutes les versions de la s\u00e9rie 1.3.0 jusqu\u0027\u00e0 la version    1.3.1_05 incluse ;\u003c/LI\u003e    \u003cLI\u003etoutes les versions de la s\u00e9rie 1.2.2 jusqu\u0027\u00e0 la version    1.3.1_05 incluse ;\u003c/LI\u003e    \u003cLI\u003etoutes les versions 1.1.x.\u003c/LI\u003e  \u003c/UL\u003e  \u003cP\u003ePour les autres plates-formes, se r\u00e9f\u00e9rer \u00e0 la section  documentation.\u003c/P\u003e\u003c/p\u003e",
  "content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 dans l\u0027impl\u00e9mentation de la machine virtuelle Java de\nSun (ainsi que les impl\u00e9mentations d\u00e9riv\u00e9es) permet \u00e0 un utilisateur mal\nintentionn\u00e9 d\u0027avoir acc\u00e8s aux m\u00e9thodes et attributs prot\u00e9g\u00e9s d\u0027un objet\nJava.\n\n## Solution\n\nEffectuer les mises \u00e0 jour de la machine virtuelle Java comme indiqu\u00e9\ndans le bulletin de s\u00e9curit\u00e9 des diff\u00e9rents \u00e9diteurs (cf. section\nDocumentation).\n",
  "cves": [],
  "initial_release_date": "2003-01-28T00:00:00",
  "last_revision_date": "2003-04-01T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 50083 de Sun :",
      "url": "http://sunsolve.sun.com/pub-cgi/secBulletin.pl"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 HPSBUX0301-239 de Hewlett-Packard :",
      "url": "http://itrc.hp.com"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 20030303-01-I de SGI :",
      "url": "ftp://patches.sgi.com/support/free/security/advisories/20030303-01-I"
    }
  ],
  "reference": "CERTA-2003-AVI-015",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2003-01-28T00:00:00.000000"
    },
    {
      "description": "Ajout bulletin de s\u00e9curit\u00e9 HPSBUX0301-239 de Hewlett-Packard.",
      "revision_date": "2003-02-07T00:00:00.000000"
    },
    {
      "description": "Ajout bulletin de s\u00e9curit\u00e9 20030303-01-I de SGI.",
      "revision_date": "2003-04-01T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Fuite de donn\u00e9es"
    },
    {
      "description": "Contournement des r\u00e8gles de s\u00e9curit\u00e9"
    }
  ],
  "summary": "Il est possible de contourner le m\u00e9canisme de protection des m\u00e9thodes et\nattributs d\u0027un objet Java.\n",
  "title": "Vuln\u00e9rabilit\u00e9 de la machine virtuelle Java",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Sun 50083",
      "url": null
    }
  ]
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
Confirmed: The vulnerability is confirmed from an analyst perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
Patched: This vulnerability was successfully patched by the user reporting the sighting.
Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
Not confirmed: The user expresses doubt about the veracity of the vulnerability.
Not patched: This vulnerability was not successfully patched by the user reporting the sighting.

Action not permitted