Salut, Une annonce de sécurité a été publiée, par avance merci pour vos relectures.
Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans OpenJDK, une implémentation de la plateforme Java d'Oracle. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3377";>CVE-2011-3377</a> <p> Le greffon de navigateur IcedTea inclus dans le paquet openjdk-6 n'applique pas correctement la politique de même origine sur les contenus web servis sous un nom de domaine ayant un suffixe commun au nom de domaine demandé. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3563";>CVE-2011-3563</a> <p> Le composant Java Sound ne vérifiait pas correctement les frontières de tableau. Un entrée malveillante ou une application ou applette Java pouvaient utiliser ce défaut pour provoquer un plantage de la machine virtuelle Java ou révéler une partie de sa mémoire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-5035";>CVE-2011-5035</a> <p> Le serveur web OpenJDK embarqué ne préservait pas d'un nombre excessif de paramètres de requête, conduisant à une vulnérabilité de déni de service impliquant des collisions de hachages. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-0497";>CVE-2012-0497</a> <p> Java2D ne vérifiait pas correctement les objets de rendu des graphiques avant de les passer au moteur de rendu. Cela pouvait conduire à un plantage de JVM ou un contournement du bac à sable (<q>sandbox</q>) Java. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-0501";>CVE-2012-0501</a> <p> L'analyseur de répertoire central ZIP utilisé par java.util.zip.ZipFile entrait dans une récursion infinie en code natif lors du traitement d'un fichier ZIP contrefait, conduisant à un déni de service. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-0502";>CVE-2012-0502</a> <p> Un défaut découvert dans la classe KeyboardFocusManager AWT pouvait permettre aux applettes Java non fiables d'obtenir le focus du clavier et éventuellement voler des renseignements sensibles. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-0503";>CVE-2012-0503</a> <p> Une invocation du gestionnaire de sécurité manquait à la méthode java.util.TimeZone.setDefault(), permettant à une application Java non fiable ou une applette de configurer un nouveau fuseau horaire par défaut. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-0505";>CVE-2012-0505</a> <p> Le code de sérialisation divulguait des références aux exceptions de sérialisation, divulguant éventuellement des objets critiques au code des applettes et applications Java. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-0506";>CVE-2012-0506</a> <p> L'implémentation CORBA de Java ne protégeait pas correctement les identifiants de dépôt (qui pouvaient être obtenus avec la méthode _ids()) sur certains objets Corba. Cela aurait pu être utilisé pour modifier des données qui auraient dues être immuables. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-0507";>CVE-2012-0507</a> <p> L'implémentation de classe AtomicReferenceArray ne vérifiait pas correctement si le tableau était d'un type Object[] attendu. Une application ou applette Java malveillante pouvaient utiliser ce défaut pour provoquer un plantage de machine virtuelle Java ou contourner des restrictions du bac à sable (<q>sandbox</q>) Java. </p></li> </ul> <p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 6b18-1.8.13-0+squeeze1.</p> <p>Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 6b24-1.11.1-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets openjdk-6.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2420.data" # $Id: dsa-2420.wml,v 1.1 2012-02-28 21:35:30 taffit Exp $
signature.asc
Description: OpenPGP digital signature
