Vulnérabilité dans Java SE
Date de publication :
Une vulnérabilité a été découverte dans Java SE, plateforme de l’environnement Java destinée aux applications pour postes de travail. Une exploitation réussie de celle-ci permet à un attaquant distant d’obtenir le contrôle total sur l’environnement Java SE.
CVE-2020-2604 [Score CVSS v3 : 8.1] : Une vulnérabilité a été découverte dans Java SE, dans les outils relatifs à la sérialisation. Cette vulnérabilité, difficile à exploiter, peut permettre à un attaquant distant ayant accès à plusieurs protocoles réseau de prendre le contrôle total de Java SE. Cette vulnérabilité s’applique aux déploiements Java chargeant et exécutant du code n’étant pas de confiance (provenant d’Internet par exemple).
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Prise de contrôle de l’environnement Java SE (par exemple: exécution de code arbitraire)
Criticité
- Score CVSS v3 : 8.1
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible pour l’instant
Composants vulnérables
- Oracle Java SE, versions 7u241, 8u231, 11.0.5, 13.0.1
- Oracle Java SE Embedded, version 8u231
- Détail des produits Oracle concernés consultable sur le bulletin Oracle suivant: cpujan2020
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Appliquer les mises à jour de sécurité Oracle pour Java SE
Solution de contournement
- Aucune solution de contournement n’est disponible