Vulnérabilité dans Java SE

Une vulnérabilité a été découverte dans Java SE, plateforme de l’environnement Java destinée aux applications pour postes de travail. Une exploitation réussie de celle-ci permet à un attaquant distant d’obtenir le contrôle total sur l’environnement Java SE.

CVE-2020-2604 [Score CVSS v3 : 8.1] : Une vulnérabilité a été découverte dans Java SE, dans les outils relatifs à la sérialisation. Cette vulnérabilité, difficile à exploiter, peut permettre à un attaquant distant ayant accès à plusieurs protocoles réseau de prendre le contrôle total de Java SE. Cette vulnérabilité s’applique aux déploiements Java chargeant et exécutant du code n’étant pas de confiance (provenant d’Internet par exemple).

Informations
+

Risques

  • Prise de contrôle de l’environnement Java SE (par exemple: exécution de code arbitraire)

Criticité

  • Score CVSS v3 : 8.1

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible pour l’instant

Composants vulnérables

  • Oracle Java SE, versions 7u241, 8u231, 11.0.5, 13.0.1
  • Oracle Java SE Embedded, version 8u231
  • Détail des produits Oracle concernés consultable sur le bulletin Oracle suivant: cpujan2020

CVE


Recommandations
+

Mise en place de correctifs de sécurité

  • Appliquer les mises à jour de sécurité Oracle pour Java SE

Solution de contournement

  • Aucune solution de contournement n’est disponible