Un problème de sécurité affecte les versions suivantes de Ubuntu :

Ubuntu 8.10
Ubuntu 9.04

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Ubuntu 8.10 :
icedtea6-plugin 6b12-0ubuntu6.5
openjdk-6-jre 6b12-0ubuntu6.5
openjdk-6-jre-lib 6b12-0ubuntu6.5
Ubuntu 9.04 :
icedtea6-plugin 6b14-1.4.1-0ubuntu11
openjdk-6-jre 6b14-1.4.1-0ubuntu11
openjdk-6-jre-lib 6b14-1.4.1-0ubuntu11

Aprés une mise à niveau standard du système vous devrez redémarrer toutes les applications Java pour apporter les modifications nécessaires.

Détails :

Il a été découvert que le système de signature XML HMAC ne vérifiait pas correctement certaines tailles. Si un attaquant envoyait un HMAC tronqué, il pourrait contourner l’authentification, ce qui permettrait une élévation de privilège.  (CVE-2009-0217)

Il a été découvert que certaines variables pouvaient laisser filtrer des informations. Si un utilisateur était amené à exécuter une applet Java malveillante, un attaquant distant pourrait exploiter ceci pour avoir accès à des informations privées ou éventuellement exécuter du code non fiable. (CVE-2009-2475, CVE-2009-2690)

Un faille a été découverte dans la vérification OpenType. Si un utilisateur était amené à exécuter une applet Java malveillante, un attaquant distant pourrait outrepasser les restrictions d’accès. (CVE-2009-2476)

Il a été découvert que le moteur XML ne vérifiait pas correctement la récursivité. Si un utilisateur ou un système automatisé était amené à traiter du XML spécialement conçu, le système pourrait se planter, entraînant un déni de service. (CVE-2009-2625)

Il a été découvert que le sous-système audio de Java ne validait pas correctement certains paramètres. Si un utilisateur était amené à exécuter une applet non fiable, un attaquant distant pourrait lire des propriétés systèmes. (CVE-2009-2670)

Plusieurs failles on été découvertes dans le sous-système mandataire. Si un utilisateur était amené à exécuter une applet non fiable, un attaquant distant pourrait découvrir des nom d’utilisateurs locaux, avoir accès à des informations sensibles, ou outrepasser les restrictions au niveau des sockets, entraînant une perte de confidentialité. (CVE-2009-2671, CVE-2009-2672, CVE-2009-2673)

Des failles ont été découvertes dans la prise en charge des images JPEG, des archives Unpack200 et des JDK13Services. Si un utilisateur était amené à exécuter une applet non fiable, un attaquant distant pourrait charger un fichier spécialement conçu qui pourrait outrepasser les protections d’accès aux fichiers locaux et exécuter du code arbitraire avec les privilèges utilisateur. (CVE-2009-2674, CVE-2009-2675, CVE-2009-2676, CVE-2009-2689)

Origine : USN-814-1: OpenJDK vulnerabilities (http://www.ubuntu.com/usn/usn-814-1)