Orange Business Services
Vigil@nce Vigil@nce Vigil@nce
nous veillons pour votre sécurité depuis 1999
 accueil présentation vulnérabilités documentation contact  
espace abonné espace abonné
accès gratuit accès gratuit
Vigil@nce décrit les vulnérabilités informatiques qui affectent vos systèmes, et propose les solutions pour y remédier.
vulnérabilités récentes vulnérabilités récentes
produits suivis produits suivis
fil RSS fil RSS
vulnérabilité

vulnérabilité CVE-2009-3555 CVE-2010-0081 CVE-2010-2375

Oracle AS, WebLogic : multiples vulnérabilités de juillet 2010

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Sun Java System Application Server et Oracle WebLogic Server sont corrigées dans le CPU de juillet 2010.
Gravité : 2/4.
Date création : 15/07/2010.

Description de la vulnérabilité

Le CPU (Critical Patch Update) de juillet corrige plusieurs vulnérabilités concernant Sun Java System Application Server et Oracle WebLogic Server. L'annonce de Oracle contient un tableau détaillé, dont voici un résumé.

Un attaquant distant peut exploiter une vulnérabilité de TLS pour insérer des données lors d'une renégociation via une attaque de type man-in-the-middle (VIGILANCE-VUL-9181). [grav:2/4; BID-36935, CVE-2009-3555, VU#120541, >]

Un attaquant peut employer une url illicite, afin d'injecter des entêtes HTTP dans WebLogic. [grav:2/4; BID-41620, CVE-2010-2375, >]

Un attaquant peut employer une vulnérabilité de Application Server Control, afin d'altérer des informations. [grav:2/4; BID-41609, CVE-2010-0081, >]

Un attaquant peut employer une vulnérabilité de Application Server Control, afin d'altérer des informations. [grav:2/4; BID-41626, CVE-2010-2381, >]

Bulletin Vigil@nce complet

Accès au bulletin Vigil@nce complet

Caractéristiques

Titre : Oracle AS, WebLogic : multiples vulnérabilités de juillet 2010.
Mots clés : 2010 120541 Application CPU Control Critical HTTP Java Oracle Patch Server Sun System TLS Update WebLogic juillet multiples vulnérabilités.
Références : BID-36935, BID-41609, BID-41620, BID-41626, cpujul2010, CVE-2009-3555, CVE-2010-0081, CVE-2010-2375, CVE-2010-2381, VIGILANCE-VUL-9760, VU#120541.

Sources d'information

Publications et annonces
Exemple de source : Oracle Critical Patch Update Advisory - July 2010

Solutions pour cette vulnérabilité

Patch correctif ou contre-mesure

Compléments

Vulnérabilité : CVE-2009-3555

Un attaquant distant peut exploiter une vulnérabilité de TLS pour insérer des données lors d'une renégociation via une attaque de type man-in-the-middle (VIGILANCE-VUL-9181).
Gravité : 2/4.
Références : BID-36935, CVE-2009-3555, VU#120541.

Vulnérabilité : CVE-2010-2375

Un attaquant peut employer une url illicite, afin d'injecter des entêtes HTTP dans WebLogic.
Gravité : 2/4.
Références : BID-41620, CVE-2010-2375.
Publications et annonces

Vulnérabilité : CVE-2010-0081

Un attaquant peut employer une vulnérabilité de Application Server Control, afin d'altérer des informations.
Gravité : 2/4.
Références : BID-41609, CVE-2010-0081.

Vulnérabilité : CVE-2010-2381

Un attaquant peut employer une vulnérabilité de Application Server Control, afin d'altérer des informations.
Gravité : 2/4.
Références : BID-41626, CVE-2010-2381.

Attaque

Outil d'attaque ou exploit 0day

Service de veille sur les vulnérabilités informatiques

Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.
La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.
Ce bulletin a été rédigé par l'équipe Vigil@nce, qui surveille les vulnérabilités informatiques de systèmes et d'applications.
Vulnérabilité informatique d'applications



















France Télécom Copyright 1999-2010 Vigil@nce. Vigil@nce est proposé par Orange Business Services. Plan du site. Mention légale. English version